Date post: | 20-Mar-2016 |
Category: |
Documents |
Upload: | archivos-bonaerenses |
View: | 218 times |
Download: | 0 times |
Seguridad de la Información
Reunión 2Seguridad de la Información
en las tareas cotidianas
Seguridad de la Informaciónen las tareas cotidianas
2
Mecanismos de control de acceso a los sistemas de información
Administración de claves de acceso Política de pantalla y de escritorios limpios Ingeniería Social Código Malicioso Amenazas en la navegación por Internet Mensajería instántanea y redes P2P
Temario
Seguridad de la Informaciónen las tareas cotidianas
3
Para asegurar el acceso a la información, se deben realizar tres pasos fundamentales: IdentificaciónIdentificación
Indicarle al sistema cuál es la cuenta de usuario a utilizar.
AutenticaciónAutenticaciónDemostrarle al sistema, por ejemplomediante la introducción de una clave,que el usuario es quien dice ser.
AutorizaciónAutorizaciónProbar que el usuario tiene permiso para acceder al recurso.
Acceso a los Sistemasde Información
Seguridad de la Informaciónen las tareas cotidianas
4
Acceso a los Sistemas de Información
Para que el sistema autentique a un usuario hay que disponer y exhibir:
Algo que se conoce (Nombre de Usuario y Clave de Acceso)
Algo que se posee (Por Ejemplo: una tarjeta magnética)
Algo que se es, una característica personal y única (Por ejemplo: la huella digital)
Lo ideal es hacer una combinación de 2 factoresLo ideal es hacer una combinación de 2 factores
Seguridad de la Informaciónen las tareas cotidianas
5
Clave de Acceso
Es un conjunto de caracteres escrito por el usuario siguiendo una norma preestablecida, que lo identificarán ante el sistema de información.Debe ser:Debe ser: personal secreta intransferible modificable solo por su titulardifícil de averiguar
Seguridad de la Informaciónen las tareas cotidianas
6
Claves de AccesoRiesgos Inherentes a la ClaveRiesgos Inherentes a la Clave:
Pérdida u olvido de la misma. Sustracción por parte de un tercero. No renovación periódica de la clave. Descuidos en su operación.
Seguridad de la Informaciónen las tareas cotidianas
7
Normas para construir unaClave de Acceso
No utilice palabras comunes ni nombres de fácil deducción por terceros (nombre de mascota)
No las vincule a una característica personal, (teléfono, D.N.I., patente del automóvil, etc.).
No utilice terminología técnica conocida (admin)
Combine caracteres alfabéticos, mayúsculas y minúsculas, números, caracteres especiales.
Constrúyalas utilizando al menos 8 caracteres.
Use claves distintas para máquinas diferentes y/o sistemas diferentes.
Seguridad de la Informaciónen las tareas cotidianas
8
Use un acrónimo de algo fácil de recordar Ej: NorCarTren (Norma , Carlos, Tren)
Añada un número al acrónimo para mayor seguridad: NorCarTren09 (Norma, Carlos, Tren, Edad del hijo)
Mejor aún, si la frase origen no es conocida por otros: Verano del 42: Verdel4ydos
Elija una palabra sin sentido, aunque pronunciable. (galpo-glio)
Realice reemplazos de letras por signos o números. (3duard0palmit0)
Elija una clave que no pueda olvidar, para evitar escribirla en alguna parte. (arGentina6-0)
Normas para construir unaClave de Acceso
Seguridad de la Informaciónen las tareas cotidianas
9
Cantidad de Combinaciones PosiblesConjunto de Caracteres
(*)Longitu
d
2821109907456368
208827064576268
308915776266
(*) solo usando letras minúsculas y letras minúsculas +números
Fortaleza de la Clave de Acceso
Seguridad de la Informaciónen las tareas cotidianas
10
Buscando Claves de Accesomas fuertes
Tiempo necesario para encontrar todas las combinaciones posibles, probando 100000 claves por segundo.
Usando una misma PC estándar, se verifica que:
Longitud en caracteres
26 letras minúsculas
36 letras y dígitos
52 letras (minúsculas y mayúsculas)
96 caracteres
6 50 minutos
6 horas 2,2 días 3 meses
7 22 horas 9 días 4 meses 23 años
8 24 días10,5
meses17 años 2.287 años
9 21 meses 32,6 años 881 años 219.000 años
10 45 años1.159 años 45.838 años 21.000.000
años
Seguridad de la Informaciónen las tareas cotidianas
11
Claves de AccesoNormas de Uso
Cuide que no lo vean cuando tipea su clave.
No observe a otros mientras lo hacen.
No escriba la clave en papelitos, ni post-it, ni en archivos sin cifrar.
No comparta su clave con otros.
No pida la clave de otro.
No habilite la opción de “recordar claves” en los programas que utilice.
Seguridad de la Informaciónen las tareas cotidianas
12
Claves de AccesoNormas de Uso
Si por algún motivo tuvo que escribir la clave, no la deje al alcance de terceros (debajo del teclado, en un cajón del escritorio) y NUNCA pegada al monitor.
NUNCA envíe su clave por correo electrónico ni la mencione en una conversación, ni se la entregue a nadie, aunque sea o diga ser el administrador del sistema.
No mantenga una contraseña indefinidamente. Cámbiela regularmente, aunque las políticas de Administración de Claves no lo obliguen.
Seguridad de la Informaciónen las tareas cotidianas
13
Normas Mínimas para el administrador de las Claves de
Acceso No debe existir ninguna cuenta sin No debe existir ninguna cuenta sin
contraseñacontraseña. Si se es administrador del sistema, revisar periódicamente el sistema de claves y utilizar fechas de vencimiento.
No permitir el uso de las contraseñas que, No permitir el uso de las contraseñas que, por defecto, genera y adjudica el sistemapor defecto, genera y adjudica el sistema. Obligar al cambio cuando se dá de alta al usuario y periódicamente de acuerdo a las normas vigentes.
No dudar en cambiar las contraseñasNo dudar en cambiar las contraseñas, si se sospecha que alguien puede conocerla.
Seguridad de la Informaciónen las tareas cotidianas
14
Pantalla y EscritoriosLimpios
Seguridad de la Informaciónen las tareas cotidianas
15
Escritorio Limpio
Es crucial evitar que la información sensible llegue al poder de personas no autorizadas a accederla.Recuerde que las oficinas son visitadas frecuentemente por proveedores, consultores, clientes, personal de limpieza y otros compañeros de trabajo.Una buena práctica es mantener su escritorio mantener su escritorio lo más limpio y organizado posiblelo más limpio y organizado posible.. Si está desordenado, es muy probable que usted no se dé cuenta de que le falta algo.
Seguridad de la Informaciónen las tareas cotidianas
16
Escritorio Limpio
Durante el día:Durante el día: Guarde los documentos sensibles bajo
llave. Si utiliza una notebook, manténgala en un
lugar seguro para evitar robos. No deje pendrives, CD’s, diskettes, u otro
elemento removible con información en lugares visibles y accesibles.
Guarde su portafolio o cartera en muebles seguros.
Seguridad de la Informaciónen las tareas cotidianas
17
No deje accesible documentos impresos queNo deje accesible documentos impresos quecontengan datos sensibles, por ejemplo: contengan datos sensibles, por ejemplo:
Datos de Empleados Contratos Números de Cuenta Informes confidenciales Información con Propiedad Intelectual Nombres de Usuarios y Passwords (claves)
Escritorio Limpio
Seguridad de la Informaciónen las tareas cotidianas
18
Al terminar el día, tómese unos minutos para:Al terminar el día, tómese unos minutos para:
Juntar y guardar en forma segura el material sensible.
Cerrar con llave gabinetes, cajones y oficinas. Asegurar el equipo costoso (notebook, PDA,
etc.). Destruir en forma efectiva los documentos
sensibles que tiró al canasto de basura (usar máquinas picadoras de papel, etc).
Revisar que deja su lugar de trabajo en orden, los equipos apagados y ningún documento sin guardar, antes de irse definitivamente de su oficina.
Escritorio Limpio
Seguridad de la Informaciónen las tareas cotidianas
19
Pantalla Blanca Nunca deje desatendida su terminal. Si debe abandonar, aunque sea
momentáneamente, su puesto de trabajo, bloquee su terminal con las facilidades que provee el sistema operativo o con un salvapantallas que solicite el ingreso de una clave para desbloquear la terminal.
Seguridad de la Informaciónen las tareas cotidianas
20
La Ingeniería Social (literalmente del inglés: Social Engineering) es un conjunto de acciones que se realizan con el fin de obtener información a través de la manipulación de usuarios legítimos.
Es un conjunto de trucos, engaños o artimañas que permiten confundir a una persona para que entregue información confidencial, ya sea los datos necesarios para acceder a ésta o la forma de comprometer seriamente un sistema de seguridad.
Ingeniería Social
Seguridad de la Informaciónen las tareas cotidianas
21
Se dice que el único ordenador seguro, es el que está desenchufado….. en una caja fuerte, con la cerradura sellada y enterrada bajo hormigón ... y aun así existen riesgos.Los entendidos en Ingeniería Social, responden que siempre existirá un ser humano dispuesto a enchufarlo …
““El factor humano, es el eslabónEl factor humano, es el eslabónmás débil de la seguridad de la más débil de la seguridad de la información.”información.”
Ingeniería Social
Seguridad de la Informaciónen las tareas cotidianas
22
Ingeniería Social
Todo el personal debe ser educado, desde los operadores de computadoras hasta el personal de limpieza.
No informar telefónicamente a nadie (por más que se arroguen cargos directivos o funciones especificas de tecnología) de las características técnicas de la red, nombre de personal a cargo, claves de acceso, etc.
Controlar el acceso físico al sitio donde se encuentran los equipos de procesamiento y comunicaciones.
La mejor manera de estar prevenido, es tener conocimiento del tema“ ”
Seguridad de la Informaciónen las tareas cotidianas
23
Programa de computadora escrito para producir inconvenientes, destrucción, o violar la política de seguridad.
Tipos
Virus: Necesita interacción del usuarioTroyanos: Doble funcionalidad: Una conocida y una oculta.Gusanos: AutoreplicaciónEtc
Nota: Ningún antivirus puede detectar todo los programas maliciosos!
Código Malicioso
Seguridad de la Informaciónen las tareas cotidianas
24
Ejemplos de cosas que puede hacer:
Borrar archivos del disco rígido para que la computadora se vuelva inoperable.
Infectar una computadora y usarla para atacar a otras.
Obtener informacion sobre ud., los sitios web que visita, sus hábitos en la computadora.
Capturar sus conversaciones activando el microfono.
Ejecutar comandos en la computadora, como si lo hubiera hecho ud.
Robar archivos del equipo, por ejemplo aquellos con información personal, financiera, etc.
Código Malicioso
Seguridad de la Informaciónen las tareas cotidianas
25
Navegación Web: Verificar el destino de los enlaces
En algunas ocasiones, el enlace no coincide con la dirección del sitio real de la empresa que dice solicitar la información. Esto puede servir para mostrar páginas engañosas o no solicitadas.Se recomienda:Se recomienda:
Verificar el destino en “Propiedades”. Escribir el enlace tal cual lo
conocemos en una ventana nueva del navegador.
Seguridad de la Informaciónen las tareas cotidianas
26
Navegación Web: Buenas prácticas
Evitar acceder a sitios desconocidos o no confiables.
No aceptar la instalación automática de software.
No descargar archivos ejecutables. No dejar información sensible en páginas o
foros. Si debe enviar información sensible:
Solo hacerlo en sitios seguros (https) Verificar el certificado del sitio.
Consulte con su administradorsobre configuración segura del navegador.
Seguridad de la Informaciónen las tareas cotidianas
27
Sitios Seguros
Seguridad de la Informaciónen las tareas cotidianas
28
Certificado de Sitio Seguro Haciendo doble clic sobre el candado, debe mostrarse la información del certificado.
Verifique que: El nombre de la entidad coincida con el de la página que usted está visitando El certificado se encuentre vigente La autoridad emisora sea de su confianza.
Seguridad de la Informaciónen las tareas cotidianas
29
Mensajería Instantánea
Los mensajeros instantáneos son un conjunto de programas que sirven para enviar y recibir mensajes instantáneos con otros usuarios conectados a internet u otras redes, además saber cuando están disponibles para hablar. Se diferencia del correo electrónico en que las conversaciones se realizan en tiempo real.
Ej: MSN Messenger, Google Talk, ICQ, Yahoo! messenger
Seguridad de la Informaciónen las tareas cotidianas
30
Seguridad y Mensajería
Instantánea Los mensajes podrían ser vistos por terceros.
Permiten saltear restricciones impuestas por la organización (por ejemplo, transferencia de archivos)
Pueden ser usados para engañarnos, o enviarnos código malicioso.
Seguridad de la Informaciónen las tareas cotidianas
31
Redes P2PSe entiende como red P2P (en inglés, Peer to Peer)
a la red informática que no tiene clientes y servidores fijos, sino que consta de una serie de nodos que se comportan simultáneamente como clientes y como servidores de los demás nodos de la red.Estas redes, permiten el funcionamiento, entre otros, de los siguientes servicios: Sistemas de telefonía y vídeo conferencia, como el Skype
Software para descargar música, videos, juegos, etc, como Emule o bittorrent
Seguridad de la Informaciónen las tareas cotidianas
32
Seguridad y Redes P2P
Mayor exposición de la estación de trabajo
Consumo excesivo de ancho de banda
El usuario puede estar compartiendo archivos que no deseaba compartir.
Descarga no intencional de código malicioso
Descarga ilegal de contenido con propiedad intelectual