Seguridad Informática: Empleados Desleales

Lunes 11 dde Noviemb

bre de 20133

1

NOTA: esta investigación se ha basado en una empresa editorial de revistas, pero es aplicable a cualquier empresa.

ContenidoIntroducción……………………………………………………………………………………………………………………………..03

Minimización de la cantidad y gravedad de los incidentes de seguridad……………….03

Creación de un CSIRT principal………………………………………………………………………..……… …….04

Definición de un plan de respuesta a incidentes.……..………………………………………………….04

Contención de daños y minimización de riesgos……..…………………………………………….….…05

Identificación de la gravedad del ataque………………………………………………………………..….…..05

Empleado desleal………………………………………………………………………………………………………….………06

Un competidor dentro de la empresa………………………………………………………………………..……06

Riesgos directos en relación con las personas que tienen acceso a información confidencial………………………………………………………………………………………………………………….…………….….….…..07

Motivaciones de los empleados desleales…………………..……………………………………………………….…….....07

Métodos utilizados por espías corporativos internos de la empresa……………………………………....07

¿Como proteger la información de empresas?………………………………………………………..……08

¿Por qué es importante proteger la información en empresas?………………………………………..……08

Medios que utilizan los empleados desleales para el robo de información………………………….….09

Criterios para escoger un sistema de protección……………………………………………….…………….…...10

Tipos de copia de seguridad…………………………………………………………………………………………..…..11

¿Como proteger la información en empresas?………………………………………………………………..……12

Otras prevenciones para evitar que usuarios o empleados roben o dañen nuestra información..12

Protección de la información en la pc y en discos externos…………………………………………..……….13

Protección de la información en el servidor de la empresa…………………………………………………….13

Protección en línea…………………………………………………………………………………………………..……….13

Políticas…………………………………………………………………………………………..………………………………14

Contraseñas………………………………………………………………………………………..……………………………14

Políticas, tecnología y empleados…………………………………………………………………………..…………..14

2


Medidas generales de Seguridad de la información en una empresa.……………………..15

Lugar de trabajo………………………………………………………………………………………………..……………..15

Proteja la información……………………………………………………………………………………………………….16

Uso del teléfono………………………………………………………………………………………………………………..16

Seguridad informática……………………………………………………………………………………………………….17

Seguridad corporativa…………………………………………………………………………………………………..…..17

Plan de respuestas a incidentes……………………………………………………………………………………………….…..18

Detección de incidentes de seguridad informática………………………………………………………19

Auditoría Informática……………………………………………………………………………………………………....19

Peritaje Informático Forense………………………………………………………………………………………….…20

Informe pericial sobre un dispositivo electrónico………………………………………………….……………..21

Reducir vulnerabilidades que conducen a la sustracción de información…………..…22

Bibliografía…………………………………………………………………………………………………………………………….….23

3


IntroducciónMuchas organizaciones aprenden a responder a incidentes de seguridad sólo después de sufrir ataques. Para entonces, los incidentes a menudo pasan a ser mucho más costosos de lo necesario. La respuesta apropiada a un incidente debe ser una parte esencial de la directiva de seguridad general y de la estrategia de mitigación de riesgos.

Para responder correctamente a cualquier incidente, se necesita lo siguiente:

Minimizar la cantidad y gravedad de los incidentes de seguridad. Crear un CSIRT principal (Computer Security Incident Response Team, Equipo de respuesta a

incidentes de seguridad informática). Definir un plan de respuesta a incidentes. Contener los daños y minimizar los riesgos.

Minimización de la cantidad y gravedad de los incidentes de seguridad

En la mayoría de los ámbitos de la vida, es mejor prevenir que curar, y la seguridad no es una excepción. Siempre que sea posible, se deseará evitar que, en primer lugar, se produzcan incidentes de seguridad. No obstante, resulta imposible evitar todos los incidentes de seguridad. Cuando se produce un incidente de seguridad, se debe garantizar que se minimice su repercusión. Para minimizar la cantidad y repercusión de los incidentes de seguridad, debe seguir estas pautas:

Establecer claramente y poner en práctica todas las directivas y procedimientos. Muchos incidentes de seguridad están provocados accidentalmente por el personal de TI, que no ha seguido o no ha entendido los procedimientos de administración de cambios, o bien no ha configurado correctamente los dispositivos de seguridad, como pueden ser los firewall o los sistemas de autenticación. Las directivas y los procedimientos se deben probar exhaustivamente para garantizar que son prácticos y claros, y que ofrecen el nivel de seguridad apropiado.

Obtener compatibilidad administrativa para las directivas de seguridad y el control de incidentes. Evaluar de forma regular las vulnerabilidades del entorno. Las evaluaciones deben ser realizadas por un

experto en seguridad con la autoridad necesaria (con derechos de administrador de los sistemas) para llevar a cabo estas acciones.

Comprobar con regularidad todos los sistemas y dispositivos de red para garantizar que tienen instaladas las revisiones más recientes.

Establecer programas de formación sobre la seguridad tanto para el personal de TI como para los usuarios finales. La mayor vulnerabilidad de cualquier sistema es el usuario carente de experiencia. El gusano ILOVEYOU aprovechó de forma eficaz esa vulnerabilidad entre el personal de TI y los usuarios finales.

Se deben enviar pancartas de seguridad que recuerden a los usuarios sus responsabilidades y restricciones, junto con la advertencia de que se pueden emprender acciones legales en caso de infracción. Estas pancartas facilitan el hecho de reunir pruebas y procesar a los atacantes. Se debe buscar asesoramiento legal para asegurarse de que la redacción de las pancartas de seguridad es apropiada.

Desarrollar, implementar y poner en práctica una directiva que requiera contraseñas seguras. Para obtener más información sobre contraseñas, consulte el apartado "Aplicación del uso de contraseñas seguras en las organizaciones" del kit de orientaciones sobre seguridad.

Supervisar y analizar con regularidad el tráfico de red y el rendimiento del sistema. Comprobar con regularidad todos los registros y mecanismos de registro, incluidos los registros de

eventos del sistema operativo, los registros específicos de aplicación y los registros de sistema de detección de intrusiones.

Comprobar los procedimientos de restauración y copia de seguridad. Debe saber dónde se almacenan las copias de seguridad, quién tiene acceso a ellas y los procedimientos para la restauración de datos y la

4


recuperación del sistema. Asegúrese de que las copias de seguridad y los medios se comprueban con regularidad mediante la restauración selectiva de datos.

Crear un CSIRT para abordar los incidentes de seguridad. Para obtener más información sobre los CSIRT, consulte la siguiente sección de este documento.

Creación de un CSIRT principal

El CSIRT es crucial para tratar con los incidentes de seguridad del entorno. El equipo debe estar formado por un grupo de personas responsables de abordar los incidentes de seguridad. Los miembros del equipo deben haber definido claramente sus tareas para asegurar que no quede ningún área de la respuesta sin cubrir. El hecho de reunir un equipo antes de que se produzca cualquier incidente es muy importante para la organización e influirá positivamente en la manera de tratar los incidentes. Un equipo adecuado realizará las siguientes tareas:

Supervisar los sistemas en busca de infracciones de seguridad. Servir como punto central de comunicación, tanto para recibir los informes de incidentes de seguridad,

como para difundir información esencial sobre los incidentes a las entidades correspondientes. Documentar y catalogar los incidentes de seguridad. Aumentar el nivel de conciencia con respecto a la seguridad dentro de la compañía para ayudar a evitar

que se den incidentes en la organización. Posibilitar la auditoría de sistemas y redes mediante procesos como la evaluación de vulnerabilidades y

pruebas de penetración. Obtener más información sobre las nuevas vulnerabilidades y estrategias de ataque empleadas por los

atacantes. Investigar acerca de nuevas revisiones de software. Analizar y desarrollar nuevas tecnologías para minimizar los riesgos y vulnerabilidades de seguridad. Ofrecer servicios de consultoría sobre seguridad. Perfeccionar y actualizar continuamente los sistemas y procedimientos actuales.

Definición de un plan de respuesta a incidentes

Todos los miembros del entorno de TI deben saber cómo actuar en caso de incidente. El CSIRT realizará la mayoría de las acciones en respuesta a un incidente, pero todo el personal de TI debe saber cómo informar de incidentes internamente. Los usuarios finales deben informar de cualquier actividad sospechosa al personal de TI directamente o a través de un personal de asistencia, no directamente al CSIRT. Cada miembro del equipo debe revisar el plan de respuesta a incidentes detalladamente. El hecho de que el plan sea fácilmente accesible para todo el personal de TI ayudará a garantizar que, cuando se produzca un incidente, se seguirán los procedimientos correctos. Para elaborar un plan satisfactorio de respuesta a incidentes se deben seguir estos pasos:

Realizar una evaluación inicial. Comunicar el incidente. Contener el daño y minimizar el riesgo. Identificar el tipo y la gravedad del ataque. Proteger las pruebas. Notificar a los organismos externos, si corresponde. Recuperar los sistemas. Compilar y organizar la documentación del incidente. Valorar los daños y costos del incidente. Revisar las directivas de respuesta y actualización.

5


Estos pasos no son puramente secuenciales, sino que se suceden a lo largo del incidente. Por ejemplo, la documentación comienza al principio y continúa durante todo el ciclo de vida del incidente; las comunicaciones también se producen durante todo el incidente. Algunos aspectos del proceso se desarrollan junto a otros. Por ejemplo, como parte de la evaluación inicial, se hará una idea de la naturaleza general del ataque. Es importante usar esta información para contener el daño y minimizar el riesgo tan pronto como sea posible. Si actúa con rapidez, podrá ahorrar tiempo y dinero, y salvar la reputación de la organización. No obstante, hasta que conozca mejor el tipo y la gravedad del ataque, no podrá contener el daño ni minimizar el riesgo de forma realmente efectiva. Una respuesta excesiva podría causar aún más daño que el ataque inicial. Al llevar a cabo estos pasos de manera conjunta, obtendrá la mejor unión entre acciones rápidas y efectivas.

Contención de daños y minimización de riesgos

Al actuar rápidamente para reducir los efectos reales y potenciales de un ataque, puede marcar la diferencia entre un ataque de menor o mayor importancia. La respuesta exacta dependerá de la organización y de la naturaleza del ataque al que se enfrente. No obstante, se sugieren las siguientes prioridades como punto de partida:

1. Proteger la vida humana y la seguridad de las personas. Por supuesto, esta debe ser siempre la máxima prioridad.

2. Proteger la información secreta y confidencial. Como parte de su plan de respuesta a incidentes, debe definir claramente qué información es secreta o confidencial. Esto le permitirá establecer prioridades a sus respuestas de protección de datos.

3. Proteger otra información, como datos científicos, sobre propiedad o del ámbito directivo. Puede que otra información de su entorno también sea valiosa. Debe proteger en primer lugar los datos más valiosos antes de pasar a otros menos útiles.

4. Proteger el hardware y software contra el ataque. Esto incluye protegerlos contra la pérdida o la modificación de los archivos de sistema y contra daños físicos al hardware. Los daños en los sistemas pueden tener como consecuencia un costoso tiempo de inactividad.

5. Minimizar la interrupción de los recursos informáticos (incluidos los procesos). Aunque el tiempo de producción sea muy importante en la mayoría de los entornos, el hecho de mantener los sistemas en funcionamiento durante un ataque puede tener como consecuencia problemas más graves en el futuro. Por este motivo, la minimización de la interrupción de los recursos informáticos debe ser generalmente una prioridad relativamente baja.

Identificación de la gravedad del ataque

Para poder recuperarse de forma eficaz de un ataque, debe determinar la gravedad de la situación de peligro que han sufrido los sistemas. Esto determinará cómo contener y minimizar el riesgo, cómo recuperarse de él, en qué momento y a quién comunicar el incidente, y si se debe intentar obtener una indemnización legal. Debe intentar:

Determinar la naturaleza del ataque (puede ser diferente a lo que sugiere la evaluación inicial). Determinar el punto de origen del ataque. Determinar la intención del ataque. ¿Estaba el ataque dirigido específicamente a su organización para

conseguir información concreta o fue un ataque aleatorio? Identificar los sistemas puestos en peligro. Identificar los archivos a los que se ha tenido acceso y determinar su grado de confidencialidad.

Al realizar estas acciones, podrá determinar las respuestas apropiadas para su entorno. Un buen plan de respuesta a incidentes resumirá los procedimientos específicos que ha de seguir hasta obtener más información sobre el ataque. Generalmente, la naturaleza de los síntomas del ataque determinará el orden en el que deberá seguir los procedimientos definidos en el plan. Ya que el tiempo es de suma importancia, los procedimientos que requieran menos tiempo tendrán prioridad ante los que consuman más tiempo.

6


EmpleadodeslealEL principal enemigo de muchas empresas no es un competidor o un exportador chino que revienta los precios, sino alguien de la propia plantilla. Los empleados descontentos o avariciosos pueden causar enormes perjuicios, y no se trata sólo de robos de material cometidos en grandes almacenes o cadenas, sino del vaciado de sus activos más preciados.

Suele ser un argumento habitual en las películas de ladrones que el acceso al botín o a parte de la información imprescindible para dar el golpe de aporte un empleado desleal. La traición de los trabajadores a sus patrones no es una conducta sorprendente, sino más habitual de lo que se cree.

Los propietarios de una pequeña revista descubrieron por casualidad que su comercial cobraba por su cuenta anuncios que en la oficina hacía pasar por cortesías o como campañas especiales. Además, para dificultar su descubrimiento desviaba las facturas y las comunicaciones a otro despacho. Parte del importe de los anuncios que hacía publicar gratis en la revista para la que trabajaba los cobraba en especie (ordenador portátil, teléfonos móviles, ropa). Descubierto el traidor, sus patronos buscaron pruebas contra él mediante un detective privado y una vez acorralado le ofrecieron un acuerdo: renunciar voluntariamente a su contrato y a todos los derechos sociales que hubiera generado y devolver una cantidad a la empresa. En caso contrario, el empleado se enfrentaría a una querella penal y, también, a una campaña de desprestigio en su ámbito profesional, de modo que nadie confiase en él. Por supuesto, el ladrón de guante blanco cedió, pagó lo que se le exigía y se marchó. A nadie le interesaba un escándalo.

Un competidor dentro de la empresa

Las relaciones que se originan en el seno de una empresa tienden a generar un círculo de confianza que se rompe cuando alguna de las partes infringe las reglas del juego y vulnera el principio de buena fe que debe regir en dichas relaciones.

Cuando ese incumplimiento proviene del trabajador es probable que una de las motivaciones más importantes sea el ánimo de lucro y que la deslealtad consista en el desarrollo de una actividad que resulte concurrente con la de la empresa. Es lo que habitualmente se denomina un negocio paralelo, ya que el empleado no sólo no abandona su relación con la empresa, sino que es posible que se aproveche de sus recursos y clientes.

Las empresas invierten poco en la prevención de este tipo de actos de deslealtad. La inercia del día a día y la confianza en que nunca pasa nada contribuyen a que persista un sentimiento generalizado de tranquilidad. El Reglamento de Seguridad de la LOPD sentó un precedente, al obligar a establecer un importante elenco de medidas preventivas. Éstas tenían como objetivo la protección de los datos de carácter personal, pero al mismo tiempo permitían proteger los activos inmateriales de la empresa que se hallasen en el mismo sistema informático en forma de ficheros de texto, hojas de cálculo y bases de datos. Sin embargo, pocas empresas disponen de una política de seguridad diseñada desde la Dirección General y alineada con los objetivos estratégicos de la empresa. El efecto disuasorio de unas normas internas que regulen y sancionen un uso inapropiado de los sistemas informáticos corporativos, unido a un programa de formación continuada, ayudan a sensibilizar al usuario sobre la gravedad de las acciones y omisiones que comprometen la seguridad del sistema.

Resulta realmente paradójico que nos preocupemos de eventuales amenazas externas cuando el riesgo proviene, en la mayoría de los casos, del interior de ese círculo de confianza del que hablaba al principio. Tal vez el riesgo de una conducta contraria a la buena fe por parte de un trabajador tiene su origen en la continuada constatación de que no existen medidas de seguridad ni controles que impidan actuar contra los intereses de la empresa. El avance de las nuevas tecnologías, con la introducción de soportes de información miniaturizados y de redes inalámbricas en los entornos empresariales está aumentando ese riesgo. Las compañías que no evolucionan en la misma medida en su capacidad de prevenir y detectar infracciones contribuyen a aumentar el nivel de riesgo dentro e incluso fuera de sus sistemas informáticos.

7


Riesgos directos en relación con las personas que tienen acceso a información confidencial

En relación con las personas con accesos especiales, existen tres tipos principales de peligros que pueden facilitar el espionaje corporativo.

Soborno: Es posible que los empleados reciban ofertas directas de agentes de inteligencia de otras corporaciones, que ofrecen dinero en metálico a cambio de información confidencial o protegida.

Ingeniería Social: La manipulación de un administrador de redes o de otras personas del departamento de sistemas (ya sea por parte de personas de la propia corporación o por parte de terceros) para que divulguen información, como datos de inicio de sesión u otros datos de autentificación, que pueden usarse a continuación para obtener el acceso a la información delicada.

Connivencia en Grupos: Cuando varios empleados se alían para usar sus conocimientos y privilegios colectivos para obtener el acceso a la información.

Entre los métodos utilizados para obtener los datos se incluye también el uso de los privilegios de acceso propios del empleado, que pueden facilitarle el acceso a información protegida o confidencial. Por otro lado, dado que los empleados tienen acceso físico a la organización, pueden iniciar sesiones con la computadora de otro empleado o robar una computadora portátil para tener acceso a otros recursos de la red. La intervención de las líneas de datos y la sustracción de cintas de copia de seguridad son métodos habituales de espionaje físico. Los espías pertenecientes a la organización pueden falsificar la información de otro usuario para solicitar y obtener a través de archivos adjuntos de correo electrónico la información que normalmente no recibirían nunca. Otras técnicas de ingeniería social, incluida la solicitud de cambios de información de inicio de sesión o contraseñas a través de los centros de soporte de sistemas, haciéndose pasar por otro usuario, o el uso compartido de información de inicio de sesión entre empleados, facilitan el espionaje por parte de las personas de la organización. Motivacionesdelosempleadosdesleales

Métodosutilizadosporespíascorporativosinternosdelaempresa

Entre los métodos más frecuentes usados por estos espías tenemos:

8


Habladurías, jactancias y charlas descuidadas del personal. Venta de información por un empleado desleal o corrupto. Una persona infiltrada como "Caballo de Troya" por una empresa rival, como empleado. Oferta de un importante cargo y remuneración a un empleado o directivo, por parte de la empresa rival. Escuchas, ambientales y/o telefónicas. Intrusión y robo de información encubierto, como robo común (para lo cual se "roban" algunos objetos

como cobertura). Observación, mucha información puede destilarse de la observación de personas que entran y salen de

una empresa durante un periodo prolongado de tiempo. Oferta ficticia de empleo a empleados de la empresa rival, como pretexto para efectuar profundas

entrevistas a los mismos.

¿Como proteger la información de empresas?

¿Porquéesimportanteprotegerlainformaciónenempresas?

Para procesar y difundir datos, la protección de los datos personales se ha vuelto importante para mantener la confianza de los clientes en una organización, para proteger la reputación de una organización, y para protegerse contra la responsabilidad legal.

Recientemente, las organizaciones se han vuelto más cautelosas sobre el riesgo de responsabilidad legal debido a la promulgación de muchas leyes federales, estatales e internacionales de privacidad, así como mayores posibilidades de mal uso que acompaña a la elaboración y difusión de datos personales. La escalada de violaciones de seguridad relacionada con información personal ha contribuido a la pérdida de millones de registros en los últimos años. Robos que incluyan datos personales son peligrosos para individuos y organizaciones. Los daños individuales pueden incluir el robo de identidad o el chantaje. Los daños en una organización pueden incluir una pérdida de confianza pública, responsabilidad legal, o costos de remediación. A fin de proteger adecuadamente la confidencialidad de los datos personales, las organizaciones deben utilizar un enfoque basado en riesgos.

9


Proteger la información es proteger el funcionamiento adecuado de la empresa, sobre todo en casos de fallo informático.

Asimismo, la protección de la información permite evitar pérdidas financieras provocadas por la desaparición de archivos, bases de datos, balances financieros, etc.

Mediosqueutilizanlosempleadosdeslealesparaelrobodeinformación

La información crítica de una empresa puede salir por varios medios. Además de los discos compactos y DVD y “pendrives” empleados, existen otras vías. Por ejemplo, los e-mails que se envían los empleados a cuentas propias de correo, con archivos adjuntos valiosos como planillas de cálculo, planes de negocio, prototipos, etc.

Por el “crecimiento de almacenamiento sin control”, con una “gestión de infraestructura desordenada” y un aumento en los robos y la preocupación sobre su privacidad.

Por ejemplo, que el 40 por ciento de los archivos adjuntos en un e-mail poseen virus.

El otro principal medio, además del e-mail, es el almacenamiento de archivos en la nube, en servicios como Dropbox o el desaparecido Megaupload.

Sin embargo, el perímetro de la compañía no está dado sólo por sus paredes y puertas, sino que también cuentan los teléfonos móviles inteligentes y las tabletas que trabajan e interactúan con los sistemas de la empresa desde cualquier punto del mundo, conectados a Internet.

Esta extensión de la frontera se amplía por la tendencia de “traiga su propio dispositivo”(BYOD, sigla en inglés), donde los ejecutivos y empleados reclaman utilizar sus propios “smartphones” o tabletas con los sistemas de la empresa.

“No se usan contraseñas ni se cifra la información” que está en los teléfonos y tabletas, Dan Molina, director para Mercados Emergentes de la empresa de seguridad informática Kaspersky, apuntó ante iProfesional que el foco también debe ponerse en los puntos de acceso a la nube y en los dispositivos móviles, cuyos usuarios “aún carecen de una cultura de la protección de los datos”, lo cual es aprovechado por los delincuentes informáticos

El robo de información y la filtración de datos confidenciales son noticia frecuente hoy en día. Importantes organizaciones se han visto obligadas a informar al público respecto a documentación privada de clientes que ha sido comprometida.

La mayoría de los casos de filtración y robo de datos son atribuidos a personal interno y no siempre son intencionadas. Mientras que las redes de la empresa están generalmente protegidas por diversas aplicaciones de seguridad, PCs y ordenadores portátiles (terminales) se dejan a menudo expuestos a amenazas internas. Cualquier persona con acceso a estos equipos puede descargar fácilmente información confidencial o infectar su Pc con virus u otros tipos de programas dañinos (malware), utilizando dispositivos extraíbles como CD,

10


Memory Sticks e iPods. Estos dispositivos portátiles y medios extraíbles no controlados representan una seria amenaza de seguridad.

Criteriosparaescogerunsistemadeprotección

Las organizaciones deben identificar todos los datos de carácter personal que residen en su entorno: Una organización no puede proteger adecuadamente los datos personales si no se conocen. Datos de carácter personal es "cualquier información sobre una persona que mantiene una agencia, incluyendo cualquier información que se puede utilizar para distinguir o rastrear la identidad de un individuo, tales como nombre, número de seguro social, fecha y lugar de nacimiento, o los registros biométricos, y cualquier otra información que esté vinculada o sea vinculable a un individuo, como médica, educativa, de información financiera y empleo".

Las organizaciones deben reducir al mínimo el uso, recolección y retención de datos de carácter personal a lo estrictamente necesario para cumplir con su objeto social y su misión. La probabilidad de daño causado por una violación que incluya datos personales se reduce considerablemente si una organización reduce la cantidad de datos de carácter personal que utilice, recaude, y guarde.

Las organizaciones deben clasificar sus datos de carácter personal por el nivel de impacto de la confidencialidad. Los datos personales deben ser evaluados para determinar su nivel de impacto de confidencialidad. Las organizaciones deben aplicar las garantías necesarias para los datos personales con base al nivel de impacto de la confidencialidad.

No todos los datos personales deben ser protegidos de la misma manera. Las organizaciones deben aplicar las medidas adecuadas para proteger la confidencialidad de los datos personales según el nivel de confidencialidad. Algunos datos de carácter personal no tiene que tener su confidencialidad protegidos, tales como la información que la organización cuente con el permiso de dar a conocer públicamente.

Las organizaciones deben desarrollar un plan de respuesta a incidentes para solucionar las infracciones que incluyan datos personales. Las infracciones que incluyan datos personales son peligrosas para individuos y organizaciones. El daño a las personas y organizaciones se pueden contener y reducir al mínimo mediante la elaboración de planes eficaces de respuesta a incidentes en caso de incumplimiento. Las organizaciones deben desarrollar planes que incluyen elementos tales como la determinación de cuándo y cómo los individuos deben ser notificados, como un incumplimiento debe ser reportado, y si se debe proporcionar servicios de recuperación, como la vigilancia de crédito, a las personas afectadas.

Las organizaciones deben favorecer una coordinación estrecha entre sus responsables de protección de datos, altos funcionarios de la agencia de privacidad, los directores de información, principales agentes de seguridad de la información, y asesoría legal para abordar las cuestiones relacionadas con los datos personales. La protección de la confidencialidad de los datos personales requiere el conocimiento de sistemas de información, seguridad de la información, privacidad, y los requisitos legales. Las decisiones relativas a la aplicabilidad de una ley particular, la regulación, u otro mandato debe hacerse en consulta con el asesor legal de la organización y el responsable de privacidad debido a las leyes, reglamentos y otros mandatos que, a menudo son complejos y cambian con el tiempo.

NOT

Ela

Pd

Aquí Velomayoevitar

Paraservi Fiab

Seguuna

Com

Senpued

Tip

TA: esta inve

Es importantas necesidad

Por lo generadesea protege

le prese

ocidad de aor deberá ser la pérdida

a un númeroidores).

bilidad del

La vida ú Es impo

restaurar La copia

uridad: los copia de seg

mpatibilida

sibilidad aden ser afect

posdeco

estigación se

te seleccionades de la emp

al, la eleccióner y al tamañ

entamos al

almacenamer la velocid de datos.

o de usuario

soporte (c

útil del soporrtante conorla rápidame de segurida

datos almacguridad on-li

ad: comprue

al ambientetados por el c

opiades

ha basado en

ar las soluciopresa.

n de la herrño de la red d

lgunos crit

miento: miedad (frecuen

os superior

opia de segu

rte (copia deocer cómo eente. d de su emp

cenados en line.

ebe que su co

e: algunos sicalor, por el

eguridad

n una empres

ones o herram

amienta de de la empres

terios para

entras mayocia) de alma

a 10 es pre

uridad) y fac

e seguridad) está organiz

presa debe se

la copia de s

opia de segu

istemas de se polvo, por u

d

in

los

as

11 sa editorial d

mientas de p

protección esa.

a la elecc

r sea el voluacenamiento

eferible utili

cilidad de uso

debe compeada la infor

er fácil de ma

seguridad de

ridad sea co

eguridad físiun golpe, etc

Copinformación

Copios elementoeguridad an

Copiarchivos queeguridad co

de revistas, pe

protección d

está ligada a

ción de l

umen de info. Contar co

izar un siste

o:

ensar o justifrmación en

anejar o adm

eben estar e

ompatible co

icos (disco dc.

a de segu de un disco a de segur

os que han snterior. a de segu

e han sido mmpleta.

ero es aplicab

de informaci

al volumen d

la herram

formación yon una velo

ema de prot

ficar su prec la copia de

ministrar.

encriptados,

on Windows,

duro externo

uridad com duro. ridad incresido modific

uridad difmodificados d

ble a cualqui

ón que se ad

de la inform

ienta de

y el número cidad adecu

tección auto

cio. e seguridad

sobre todo s

, Apple y Lin

o, lector de b

mpleta: pro

emental: pcados desde

ferencial: desde la últi

ier empresa.

dapten más a

mación que se

protección:

de usuariosuada permite

omática (Ej.

d para pode

si se trata de

nux.

banda)

otege toda la

protege todoe la copia de

protege loima copia de

a

e

:

s, e

:

r

e

a

s e

s e

12


¿Comoprotegerlainformaciónenempresas?

Para afrontar esta amenaza, es de suma importancia que las organizaciones cuenten con herramientas como Secured eDevice de CryptZone que permite proteger su información contra el robo y uso indebido, impidiendo la filtración de datos y el acceso no autorizado a todo tipo de dispositivo o interfaz que pueda llegar a ser usado para comprometer la integridad del activo más importante de una empresa: La información. Secured eDevice es una solución a nivel de empresa para controlar, monitorizar y registrar cómo se carga y descarga información en los ordenadores o terminales. Mediante la implementación de una política de control de acceso a terminales para dispositivos portátiles y medios extraíbles, la solución deeDevice impide eficazmente el uso no autorizado de datos de la empresa. eDevice, se instala y administra de forma centralizada. Los administradores de seguridad definen directivas que se distribuyen automáticamente a los terminales. Estas directivas se hacen cumplir y todos los eventos relevantes se reportan al Management Server. Una rigurosa integración con los directorios y sistemas de gestión de la empresa facilitan la instalación y hacen posible un detallado registro y una gran potencia de generación de informes. Secured Device protege eficazmente sus datos:

CONTROLANDO y monitorizando la forma en que se descarga la información en las terminales. DEFENDIENDO su red contra malware copiado a las terminales desde medios extraíbles y

dispositivos portátiles. ASEGURANDO su red contra la exposición al mundo externo a través de módems inalámbricos, Wifi,

Bluetooth y otros interfaces.

Otrasprevencionesparaevitarqueusuariosoempleadosrobenodañennuestrainformación:

1. Contar con sistemas que nos protejan de virus, spyware y otro código malicioso. Disponer de un antivirus actualizado es fundamental hoy en día.

2. Securizar la conexión a Internet. Es muy importante contar con un cortafuego entre Internet y la red interna de la organización.

3. Instalar y activar cortafuegos en todos los sistemas de la organización. Si utiliza sistemas Windows asegúrese de que el cortafuego está disponible.

4. Mantener el software actualizado: Los sistemas operativos y otros productos instalados en los sistemas deben tener actualizados los últimos parches de seguridad.

5. Haga copias de seguridad de la información importante del negocio. Sus documentos, sus hojas Excel, sus bases de datos pueden perderse y causar un grave perjuicio en la organización. Es importante automatizar esta tarea y probar con frecuencia que estas copias se realizan correctamente.

6. Controle el acceso físico a sus oficinas y proteja sus PCs y especialmente los portátiles del robo (utilizando candados para anclarlos a mesas, por ejemplo).

7. Securice su punto de acceso wifi: Existen multitud de medidas para mejorar la seguridad de su red wifi. Cambiar la encriptación a WPA, tenga en cuenta que la encriptación WEP, utilizada en la mayoría de los routers, no es segura.

8. Conciencie a sus empleados de la importancia de la seguridad para la organización y explíqueles lo que las políticas de seguridad de su empresa establecen respecto al uso de los PCs, las redes, el correo electrónico, etc.

9. Limite el acceso a la información de los usuarios. No conceda acceso ilimitado a los usuarios sino únicamente a la información que realmente necesiten.

13


10. Limite los privilegios de los usuarios para instalar software en las máquinas.

Proteccióndelainformaciónenlapcyendiscosexternos

Si su empresa cuenta con pocos ordenadores, entonces usted puede programar una copia de seguridad directamente en su PC (véase el artículo: Windows XP: puntos de restauración). Al mismo tiempo, usted también deberá guardar la información en un soporte removible (DVD, USB, disco duro externo). Ventajas: usted podrá trasladar fácilmente la información protegida. Desventaja: el punto de restauración no garantiza la protección de su información personal. Además, copiar la información en un soporte removible toma tiempo.

Proteccióndelainformaciónenelservidordelaempresa

Instalar un servidor (para más de 5 PC) permite disminuir el riesgo de pérdida de archivos. El servidor cuenta con un lector de banda magnética que se encarga de copiar y proteger información todos los días.

Ventaja: las copias de seguridad son automáticas y están encriptados. Usted puede proporcionar a sus colaboradores las claves de acceso a los archivos almacenados en el servidor. El costo demuestra la fiabilidad del equipo o material.

Desventaja: la protección o copia de la información no siempre se realiza en tiempo real (riesgo de pérdida de información). Es posible que se requieran ciertas competencias técnicas para poder restaurar la información.

Protecciónenlínea

Se trata de la creación de una copia de seguridad en internet. Su ordenador/red deberá estar conectado a un servidor lejano que copie la información en tiempo real o un poco después.

Ventajas: la copia de seguridad es creada casi de forma sincrónica al archivo (en caso de una fallo o problema, la pérdida de información es mínima). La administración de los datos en línea (clasificación, recuperación) es relativamente simple (códigos de acceso conocidos por los administradores escogidos). Además, este tipo de protección permite almacenar un gran volumen de información (1000 Gb o más).

Desventajas: el tiempo empleado para la recuperación de la información puede ser muy largo (todo depende de su conexión y del volumen de información). La protección y la recuperación de la información son imposibles si la conexión de internet es interrumpida. La tarifa de este servicio de protección en línea puede ser muy elevada.

Como sabemos en la actualidad en Internet los clientes y su información brillan como oro, y cuando los piratas descubren este oro, se crean muchos problemas. Una vez que la información del cliente o empleado se ve comprometida, ellos, están en un grave riesgo de un robo de identidad y tu empresa perderá toda confianza. Así que lo mejor es seguir estos pasos para proteger la seguridad informática en tu empresa. Debemos tomar en cuenta que los administradores de la empresa tienen la obligación o responsabilidad de proteger la información personal de los clientes que se va adquiriendo.

NOT

Lo qpara

Totacompperp

Pol

Polítdescadmmed

Las aemprevis

Aproopermínianteusar estén

Con

Contprotede pform

Contnuncimplsímbposib

Lo m1. 2. 3. 4. 5.

Debeoperpuntcursotoda

Pol

Las empopor

TA: esta inve

que nos dicea garantizar l

almente conprometidos

petrados por

líticas

ticas de vacconectan y

ministrador, ydidas y perso

auditorias soresa; así mi

siones financ

obaciones praciones banimo posible s de que un “bloques dn no autoriza

ntraseña

traseñas ocueger tus cue

papel que hama tu contras

traseñas pocca para el prlementar, ubolos y númble.

mejor es quRealiza actuNo bajes la ImplementaCifra todos Establece e

es de tomarracional y suto de partidos y realiza

as esas pérdid

líticas,t

políticas y resa. Estos

rtunidad de

estigación se

e que en estola informaci

ntrario a lo o hackead “Genios Inf

caciones. Debno tienen ya que en tnal preparad

orpresas. Cosmo puedescieras progra

or duplicadncarias como algunos rie nuevo cliene débito” y ados.

as

ultas: La conntas de emp

as “escondidseña.

co robustas. rocesamientona combinaeros para qu

ue te preveualizaciones guardia en ea y toma las los posibles implementar en cuenta

us necesidadea para mejo actividadesdas económi

tecnolog

las tecnologcontroles tie manejar los

ha basado en

os días, cualón del client

que suele pdos. ¿Y cómformáticos” a

bes aseguraa la mano

tan solo unado.

on éstas pod detectar y eamadas.

do. Debes imo las transfeesgos de frante o vended

alertas com

ntraseña máspresa si un hdo” en cajón

Estos hackeo requerido ación lo máue de esta m

engas y siga de contraseñel tema de la medidas nec datos sensiba la debida pa que como es son difereorar la segur relacionadaicas que se p

gíayem

gías deben penen que gas datos que

n una empres

lquier emprte ante las am

pensarse qumo puede sante el cual g

arte de que su “escritoa o dos sem

drás detectaevitar que tu

mplementar erencias y loaude. Tu emdor sea añad

mplementaria

s robusta dehacker tiene ln de tu oficin

ers a día de h al descifrar ás compleja

manera al m

as estos pañas y de tod

a suplantaciócesarias parbles.

política de se cada emprentes, no es pridad y la pras con las aproducen cu

pleados

ponerse en rantizar la c entran y sa

14 sa editorial d

esa necesitamenazas en

ue la mayorser esto posgran parte d

en los períorio”, tenga

manas se pu

ar y prevenius fondos no

en los proos pagos; con

mpresa puededido a un sisas para de e

l mundo quela posibilidana; debes de

hoy dispone contraseñasa posible coenos se lo p

asos: o el software

ón en línea. a asegurar tu

eguridad de Tresa es diferposible adoprotección de

amenazas deando ocurre

s

práctica pacapacidad delen de la em

de revistas, pe

a implement línea.

ría de los ssible? Medi

de empresas

odos vacacian sus datoueden produ

ir o limpiaro se puedan

ocesos bancan esta implee también pstema especiesta forma r

e puedas imad de leerla de guardar d

en de más pos. Debes de uompuesta depongas lo má

e habitualm

u red Wi-Fi.

TI. rente, los mptar solucione los datos, e fraude; esten este tipo d

ara protegere obtener in

mpresa. Si b

ero es aplicab

tar las medi

sistemas infoiante una s se encuentr

ionales en dos a disposucir fraudes

r los posible manipular

arios las apementación pedir más aifico de de preducir el ri

maginar no vde un trozo

de la mejor

oder que utilizar e e letras, ás difícil

ente.

.

medios de sones completa capacita a tto sin duda de fraudes.

r la informanformación sbien las polít

ble a cualqui

idas que sea

formáticos pserie de acan indefensa

donde los emsición del ss internos, s

es fraudes dantes de que

probaciones tan sencilla

aprobacionespago, tambiéiesgo ante p

a

oporte admas, pero si setus emplead te ayudará

ación confidsobre la red,ticas y la te

ier empresa.

an necesaria

pueden estactos audaceas.

mpleados sesupervisor osi no existen

dentro de tue realices la

duales para reducirás as adicionaleén es posible

pagos que no

a

ministrativo yervirán comodos mediante a minimiza

dencial de la, así como lacnología son

s

r s

e o n

u s

a al s e o

a

y o e r

a a n

15


ciertamente una parte crítica de cualquier programa de Seguridad de la Información, estas medidas por sí solas no pueden ofrecer la suficiente seguridad en la práctica.

La concienciación de los riesgos, y las protecciones disponibles son la primera línea de defensa para la seguridad. Los empleados son el perímetro real de la red de la organización y su comportamiento es un aspecto vital de la seguridad. La protección de las organizaciones comienza con asegurarse de que los empleados comprendan sus funciones y responsabilidades en la protección de los datos sensibles y la protección de los recursos de la empresa, y ayudar a la organización en el mantenimiento de los equipos y de seguridad de la red.

Medidas generales de Seguridad de la información en una empresa

La protección de la información es, hoy, vital para la supervivencia de cualquier organización. Esto no es un secreto. Sin embargo, descuidamos esta faceta de nuestra seguridad, regalando oportunidades, a cualquiera que quiera saber algo de nosotros. Estamos acostumbrados a tener alarmas, cerraduras, etc. para proteger nuestros bienes, pero descuidamos lamentablemente, la protección de algo intangible, pero más importante, nuestra intimidad.

Lugardetrabajo

El centro en el cual confluye más de 90% de la información que manejamos es nuestro propio lugar de trabajo y, por ello, merece ocuparse de él en primer lugar.

Las principales normas a tener presente en este apartado son las siguientes:

La sala debe reunir unos requisitos mínimos de aislamiento acústico que impidan la escucha desde el exterior de conversaciones mantenidas en el interior. Esto incluye acristalamiento doble y paneles o paredes aisladas. En caso de que la sala linde con finca vecina, debe preverse una cámara de aire entre el panel interior y la pared. El panel interior debe tener aislante acústico y ser practicable para la inspección de la cámara. Debe disponer de cortinas y cerradura interior de las ventanas, en el caso de que éstas sean practicables.

Asegúrese, a través de personal de mantenimiento, de que no hay cableado inútil en paredes y falso techo. Puede ser fácilmente utilizado como portador de señal. En caso de instalaciones de reserva (habitual en modernas instalaciones de redes de voz y de datos), verifique que los conductos de canalización son seguros.

Tenga siempre cerradas las cortinas. No utilice ni interfonos ni teléfonos inalámbricos y, en caso de que el uso de los mismos sea

imprescindible, adquiéralos de tecnología digital de transmisión. Disponga de cerraduras seguras en todas las puertas, armarios y cajones. Si maneja documentos

especialmente sensibles, adquiera una caja de seguridad para almacenar los mismos. Dichas llaves deberán estar en su poder y, en caso necesario, en el de su secretaria o colaborador de confianza. En previsión de emergencias, entregue una copia al responsable de seguridad, dentro de un sobre de seguridad cerrado y con su firma en la unión de la solapa con la bolsa, para su depósito en una caja de seguridad.

Sólo deben tener acceso a nuestro despacho personas de la propia organización. Las visitas de terceros es conveniente atenderlas en salas especialmente previstas para ello. Además, instruya al personal de limpieza para que revise y adecue la sala inmediatamente después de cada uso. Dichas salas deben carecer de teléfonos enlazados a líneas directas y, en la medida que el sistema lo permita, sólo deben poder realizar llamadas a extensiones interiores (sin perjuicio de que puedan recibir, transferidas, llamadas externas).

Autorice el acceso a su despacho, en su ausencia, a una única persona de confianza (p.e. su secretaria). En caso de que, en su ausencia, algún colaborador precise de algún documento, ésta será la encargada de entregarlo.

16


Al abandonar el despacho, no deje ningún documento accesible. Durante su ausencia, personas sobre las cuales no tiene ningún control accederán al mismo (personal de limpieza, mantenimiento, seguridad, etc.). No presuponga ni la integridad ni la capacidad de estas personas, no todas tendrán su inteligencia y formación para discernir la bondad o maldad de una determinada conducta. Una práctica útil en este aspecto es disponer de un estante en uno de sus armarios, exclusivamente para depositar en el mismo los documentos existentes sobre su mesa en el momento de salir. Instruya a su secretaria o colaborador de confianza a que, antes de salir y en caso de ausencia de usted, revise que no queden papeles accesibles.

En su ausencia, los armarios y cajones deberán quedar cerrados. Disponga de destructora de documentación, de prestaciones adecuadas al volumen de los documentos

que maneja. Escoja una que disponga de entrada de objetos al depósito y elimine las papeleras, así estará seguro de que cumple la norma de destruir todo papel desechado. Disponga lo mismo para su secretaria.

Desconfíe de los regalos. La forma más fácil de introducir un micrófono emisor en su oficina es introduciéndolo en un objeto de regalo. En todo caso, verifique por personal especializado (a través del responsable de seguridad) su inocuidad. Bajo ningún concepto conecte a la red eléctrica o telefónica equipos que le hayan sido regalados (desconfíe especialmente de un teléfono móvil, se pueden "trucar" de varias maneras).

En zonas de despachos panelables, no reciba visitas. Es muy fácil que esa persona vea o escuche algo que no debe. Disponga de otro local, donde se recibe, y no se pueda llevar, más que lo que usted le quiera dar.

Instale una alarma, conectada a Central Receptora, con detectores de humo (no olvide el riesgo del fuego), y mejor con cámara de TV, para que desde la Central sepan lo que está pasando cuando se dispara la alarma.

Protejalainformación

Sea cauto en sus conversaciones con colegas en firmas competidoras. Usted nunca podrá valorar de forma segura hasta qué punto una información puede o no ser valiosa para una empresa competidora. Conocer la existencia de un proyecto descartado, aunque puede no parecerlo, tiene una extraordinaria importancia: da una idea de la actividad de una empresa en materia de innovación, afianza la conclusión de que una idea es digna de tenerla presente y estudiarla, permite prever posibles actuaciones futuras, etc. Si, además, comentamos por qué lo hemos descartado, la información (y los beneficios de conocerla) se multiplican.

Tengamos presente, además, que comunicar determinados detalles o informaciones es la mejor forma de crear confianza en nuestros interlocutores. Dejar que terceros conozcan estos detalles les permite crear la apariencia de una condición que nunca hemos querido darles.

Usodelteléfono

La comodidad que representa el teléfono hace que por el mismo circule la mayor parte de la información que conocemos. No obstante, es un sistema de comunicación altamente vulnerable: se puede pinchar en todo el recorrido de la línea (tanto interna como externa), el emisor se puede alimentar de la propia línea y la escucha se puede realizar a distancia con total impunidad. Obviamente, no puede usted prescindir del teléfono, pero sí tomar una serie de precauciones que inutilicen en gran medida todo intento de intromisión.

Nunca utilice líneas directas al exterior. Aunque su extensión tenga asignado un determinado número entrante, haga programar la centralita para que la asignación de líneas salientes sea aleatoria. De esta forma, para acceder a sus comunicaciones desde el exterior será preciso pinchar todos los enlaces de la empresa.

En la medida de lo posible, haga instalar líneas RDSI, o similares de transmisión de señal digital. Aunque existen equipos capaces de interceptar dichas líneas, su disponibilidad es mucho menor que los

17


de líneas analógicas (pero el que disponga de tecnología adecuada, podrá hacerle multitud de ataques, imposibles en las líneas analógicas)

Sea especialmente reservado cuando utilice teléfonos móviles (incluidos los GSM). Es el sistema más vulnerable y que ofrece mayor impunidad. Evite dar nombres o datos cuando hable por el móvil y limite su uso a casos de estricta necesidad. No facilite su número móvil más que a su secretaria de confianza, responsable de seguridad y personal directivo: en caso de necesidad, su secretaria puede transferirle directamente las llamadas urgentes recibidas en su oficina. Active la ocultación del número propio (sólo posible en GSM). Utilice un teléfono o tarjeta independiente para asuntos personales. Debe saber, además, que el GSM, informa al sistema del lugar geográfico en que usted se encuentra, simplemente por el hecho de estar conectado.

En momentos de especial sensibilidad de los asuntos que deba tratar, adquiera para su teléfono móvil una tarjeta pre-pago, adquirida en efectivo. Posteriormente, desviamos nuestro número habitual al nuevo, y la gente que nos llame, no tendrá que saber el número donde se ha desviado. La tarjeta es el único identificador del equipo y, sin poderla vincular a través de pagos por domiciliación bancaria o tarjeta de crédito, difícilmente será conocida por terceros.

Seguridadinformática

En nuestros ordenadores se concentra la práctica totalidad de la información que elaboramos. Además, hoy en día es un medio habitual de comunicación. La utilidad del ordenador para almacenar y procesar información tiene, como contrapartida, la concentración de la misma en un único archivo de escaso tamaño. Antaño, para apropiarse de los secretos de otro había que examinar y sustraer un considerable volumen de documentación.

Utilice un programa de control de acceso y cifrado automático de datos sensibles (SAFE Data BECKER o similares). Los controles por contraseña de los sistemas operativos al uso no cumplen de forma eficaz con esta misión y son altamente vulnerables. Además, no protegen la información frente ataques directos al soporte físico de la misma (generalmente, el disco duro) . Con los portátiles, esto es imprescindible, por lo fácilmente que se pueden "distraer" en cualquier desplazamiento. El cifrado es especialmente importante cuando se trabaja en red, ya que determinados programas, permiten ver todos sus archivos, desde cualquier otro PC conectado a la red (Estos programas están en las revistas especializadas y en Internet, gratuitamente) . O para el caso del correo electrónico, que es muy vulnerable.

Utilice contraseñas seguras. Palabras, nombres, fechas o secuencias de números son fácil y rápidamente comprobadas a la velocidad actual de proceso de los equipos. Una contraseña mínimamente segura se compone de un mínimo de 8 caracteres mezclando mayúsculas, minúsculas, números y signos especiales. Y por descontado, créelas usted, no el Dept. de Informática

Realice siempre copias de seguridad. Si le roban el equipo, o sufre alguna avería, podrá recuperar su trabajo. Almacénelas, eso sí, en lugar suficientemente seguro.

Active utilidades de cifrado en sus mensajes de correo electrónico (recomiendo el PGP, de uso muy extendido) incluso dentro de la propia red corporativa. Todos los sistemas de correo (internos o externos) están basados en el almacenamiento de los mensajes en un equipo servidor y un operador con autorización suficiente (por clave propia o mediante clave ajena conocida) a los que se podría acceder a los buzones de mensajes sin que usted ni el destinatario lo supieran. No presuponga que el departamento de informática es seguro: probablemente lo es, pero usted no puede saberlo (de todas maneras, piense que el correo electrónico se comporta allí por donde va pasando como un sobre transparente y si alguien quiere, lo puede leer). Utilice direcciones de correo electrónico anónimas, gratuitas y de un solo uso, para los documentos delicados (el servidor de correo de la empresa, para el Dpto. de Informática, es transparente).

SeguridadCorporativa

Todas las normas anteriores serán ineficaces si no son observadas por los miembros de su equipo de trabajo y por el resto de los directivos. Instrúyales sobre la importancia de la seguridad y control en el tratamiento de la

18


información. Distribuya copias de este documento. Mal se pueden tomar medidas de seguridad, cuando se ignora su lógica. Realice periódicamente "limpiezas", pero especialmente en épocas de crisis. Los "malos" no quieren ser descubiertos, y por lo tanto, es posible que no lo intenten, si saben que se hacen revisiones. Valore la oportunidad de elaborar una política global de seguridad por profesionales expertos. Esto permitirá identificar zonas sensibles, redefinir circuitos y, en resumen, establecer unas normas comunes adaptadas al grado de interés que la información de una empresa pueda despertar en terceros. La seguridad es un aspecto vital para toda empresa (y muy rentable). Lamentablemente, su utilidad sólo se puede valorar cuando no existe y algo ocurre. Es imprescindible que alguien asuma las funciones de coordinación de seguridad. Sólo así se puede permitir que hechos aislados lleguen a un mismo centro de análisis y toma de decisiones. Antes de descartar una determinada práctica por la incomodidad que representa, valore los riesgos que está asumiendo. Nunca podrá valorar de forma efectiva el nivel de seguridad de su sistema. En el mejor de los casos, lo único que podrá saber es que es insuficiente... pero entonces ya será tarde. Por ello, no permita que su equipo se relaje por la ausencia de incidencias: puede que no las haya habido precisamente por las medidas seguidas hasta ese momento.

Plan de respuestas a incidentes

1. ¿Como recuperara los datos robados, dañados, perdidos? Para la recuperación de archivos la elección correcta de una compañía profesional es la decisión más importante. Cuando ocurre una pérdida de archivos, sea cual sea la causa: virus, soporte formateado, disco dañado, borrado de archivos, sabotaje, incendios, inundaciones, mecánica averiada, bloqueo del sistema, particionalmente; si ha sufrido daños en la superficie de los platos, picos de tensión, golpes... Es muy importante para recuperar archivos, que nunca deje sus discos en manos inexpertas ya que la recuperación de un archivo exige personal altamente calificado y materiales específicos.

2. Recuperación de un sistema afectado: Mientras la respuesta a incidentes está en progreso, el equipo CERT debería estar investigando al mismo tiempo que trabajando en función de la recuperación de los datos y el sistema. Desafortunadamente, es la naturaleza de la violación lo que dicta el curso de la recuperación. Tener sistemas redundantes o respaldos de datos fuera de línea, es invalorable durante estos momentos. Para recuperar sistemas, el equipo de respuestas debe colocar en funcionamiento cualquier sistema caído o aplicaciones, tales como servidores de autenticación, servidores de bases de datos y cualquier otro recurso de producción

3. Acciones legales contra un empleado: Cuando la empresa descubre que un empleado suyo ha estado sustrayendo dinero o bienes de la empresa, debe proceder de acuerdo a la ley, de lo contrario podrá tener serios inconvenientes legales y seguramente no podrá recuperar los bienes perdidos.

4. Imagen y reputación de la organización: Es claro que para que una organización pueda crecer en su mercado, existen sólo dos opciones generales para hacerlo: generar ventas con nuevos clientes y/o generar mayores niveles de ventas con los clientes actuales.

La gente perdona casi cualquier cosa, excepto una negligencia grave, la crueldad y arrogancia, y sobre todo la falta de Ética. Si la gravedad lo amerita, la Junta de Accionistas debería reemplazar al manager que estuvo

19


involucrado en la crisis. Frecuentemente es la condición sine qua non para reganar la credibilidad y confianza de los públicos

a) El (nuevo) CEO debe conceder el derecho a enojo de los públicos y pedir disculpas públicamente, mostrando empatía, un remordimiento sincero y actuando en consecuencia (a sabiendas de que ello será insuficiente)

b) Debe aclarar los hechos que generaron la crisis, proporcionando toda la información necesaria en forma periódica y actualizada, eventualmente en ruedas de prensa y en el sitio web de la compañía.

c) 4. Debe comprometerse a que la empresa será un mejor ciudadano corporativo, remediando el problema, resarciendo a los perjudicados y garantizando que algo como lo que motivó la crisis no volverá a ocurrir. Eventualmente debe considerar encarar un proceso de cambio cultural. No debe hacer promesas que no esté seguro de poder cumplir.

d) Si el origen de la crisis ha sido un fraude, soborno u otro motivo relacionado a una falta de ética, la empresa debe contratar una agencia externa independiente para realizar una auditoría forensica y cooperar intensamente con las autoridades involucradas en la investigación del caso. El área de Compliance debería ser reforzado, tanto en términos de recursos como de atribuciones.

e) Todos los sistemas de detección temprana de riesgos deben funcionar como un reloj para prevenir efectos secundarios de la crisis que pudieran generar nuevos incidentes.

f) La empresa debe dejar pasar tiempo prudencial antes de reaparecer (aumentar el perfil) nuevamente. Si hay causas legales con repercusión mediática debiera esperar el desenlace del juicio antes de reiniciar su comunicación política (no-comercial).

g) Mientras eso sucede, debe basar su relación con los públicos externos en la comunicación comercial apoyada en aquellos aspectos de la empresa que quedaron al margen del daño reputación. Frecuentemente se trata de la imagen de sus productos.

h) Cuando el motivo de la crisis está cayendo en el olvido y las acciones posteriores de la empresa para mejorar su posicionamiento ya son reconocidas, se debe reiniciar el diálogo con todos los stakeholders para recuperar la confianza y credibilidad perdida.

i) Cuando la empresa haya recuperado sus fortalezas en el mercado es conveniente realizar una campaña institucional (comunicación política) amplia y masiva poniendo énfasis en los nuevos valores de la organización.

Detección de incidentes de seguridad informática

Toda empresa debe de contar con un servicio de seguridad informática, el cual le de una serie de reportes cada cierto tiempo sobre el manejo de información dentro de la empresa y, de esta manera, detectar algún empleado desleal.

AuditoríaInformática

20


Un equipo de especialistas en seguridad informática evaluará el estado de sus sistemas, tanto a nivel interno como externo, así como el del sitio web, aplicaciones y bases de datos de su empresa.

Según las necesidades de cada cliente, los servicios prestados podrán ser los siguientes:

Auditoría de seguridad interna: análisis de los riesgos existentes en el sistema de su empresa, que tengan origen en el interior de la red corporativa.

Auditoría de seguridad externa: estudio de las vulnerabilidades del sistema de red corporativo, que puedan facilitar el acceso al sistema informático de la empresa un usuario no autorizado.

Auditoría de seguridad del Website de la empresa: comprobación de la existencia de puntos débiles que puedan ser aprovechados por un usuario malintencionado con fines no autorizados.

Detección de virus, amenazas, spyware, rats, adware.

Informe sobre el estado actual del sistema y recomendación de soluciones en caso de que alguno de los test sea positivo.

Implementación de Soluciones de Seguridad, incluyendo el desarrollo de parches y aplicaciones de seguridad para que la empresa proteja su información y cumpla con las obligaciones exigidas por la normativa vigente en materia de Protección de Datos de Carácter Personal.

Seguridad Informática Permanente de los recursos informáticos de la empresa y/o del Sitio Web corporativo, a través de sofisticados programas de seguimiento, y detección de amenazas de intrusiones externas que puedan poner en peligro la información de la empresa.

PeritajeInformáticoForense

Un equipo de expertos en informática forense le proporcionará el asesoramiento técnico necesario para que pueda emprender las acciones legales oportunas, y siempre que sea necesario todos nuestros Informes Periciales serán ratificados por los Peritos ante los Tribunales correspondientes.

Un equipo de especialistas en peritaje informático con experiencia en el ámbito de la informática forense ofrece a una empresa algunos de los servicios más habituales:

Casos de Competencia Desleal: Investigación sobre archivos borrados y/o robados. Detectar quien ha robado/borrado información, cómo y cuándo lo ha hecho.

Uso indebido del material informático: Actividades extra laborales ejercidas por trabajadores dentro del horario laboral; uso de aplicaciones no permitidas

Empleados Desleales: Detección de accesos no autorizados o vulneración del deber de confidencialidad y secreto que deben guardar los trabajadores de una empresa.

Certificación de autenticidad de mensajes de correo electrónico: Para aportar como medios de pruebas ante un Tribunal de Justicia en casos de conflictos laborales, etc.

21


Certificación de aplicaciones: Certificación del cumplimiento o incumplimiento de los requisitos

técnicos de un determinado proyecto de software en base a lo contratado. Contra informes: Se analiza la pericial presentada por la parte contraria en un proceso judicial y se

presenta un contra informe en el que rebatimos y/o completamos las conclusiones de aquella.

Casos penales: Recopilación de elementos probatorios, o elaboración de Dictámenes Periciales en casos de: Descarga y distribución de pornografía infantil, Phishing, Estafas, Delitos Informáticos, etc.

Informepericialsobreundispositivoelectrónico

Se trata de la modalidad más demandada de Informe Pericial Informático, y es aquella en la que el Perito Informático lleva a cabo una investigación sobre uno o más dispositivos de almacenamiento electrónicos.

Adoptando las medidas necesarias que asegurarán que se mantenga la cadena de custodia de los dispositivos implicados, el Perito llevará a cabo una investigación sobre los mismos. A lo largo del proceso, el Perito obtendrá aquellos datos necesarios para dar respuesta a las solicitudes del cliente:

¿El usuario ha borrado archivos? ¿Cuándo?

¿Se ha copiado o enviado información confidencial fuera de la empresa?

¿Es auténtico un determinado mensaje de correo electrónico?

¿Está siendo espiada nuestra empresa?

22


Tras la investigación, el Perito elaborará un Informe Pericial, el cual una vez firmado tendrá validez como prueba ante un Tribunal de Justicia.

En caso necesario, el Perito acudirá al Tribunal para ratificar su Informe Pericial Informático.

Reducir vulnerabilidades que conducen a la sustracción de información

Entre las vulnerabilidades de una red que podrían conducir a fugas de información se encuentran la presencia en la Web, el correo electrónico y las actividades de los usuarios en Internet, su intranet y los privilegios de acceso. A pesar de que no afectan directamente al departamento de sistemas, también pueden usarse métodos físicos, como la sustracción de computadoras portátiles y la intervención de líneas de datos. Con el fin de protegerse del uso indebido o la fuga accidental de información interna hacia los espías externos a través de la red, la corporación debe evaluar y clasificar los activos de información y diseñar normas de implementación y soluciones que permitirán reducir el acceso no autorizado a esos datos.

Las soluciones que deben aplicarse son las siguientes:

1. Es necesario monitorear el tráfico de correo electrónico y de Internet para impedir la transacción de datos confidenciales a través de la red. El filtrado de contenidos de Internet ayuda a limitar el acceso a los sitios Web, lo que puede poner en peligro la confidencialidad de la corporación. El filtrado de correo electrónico puede impedir la transmisión de información confidencial a través del correo electrónico, incluida la información de autentificación o los datos protegidos.

2. El uso de soluciones antivirus completas, que incluyen la búsqueda de caballos de Troya, le ayudarán a eliminar el espionaje corporativo (y los robos de datos resultantes) a través de métodos de puerta trasera.

3. Los productos de software para detección de intrusos permitirán el acceso exclusivo de las personas autorizadas a las áreas restringidas de la red. El departamento de sistemas puede recibir alertas acerca de los intentos de intrusión y puede actuar en consecuencia.

4. Las soluciones de evaluación de vulnerabilidades contribuirán a que el departamento de sistemas comprenda la arquitectura de seguridad y las vulnerabilidades de cada componente dentro de la estructura. Ayudarán a los directores de sistemas a obtener auditorías de su red, así como a desarrollar y mejorar las protecciones.

5. La implementación de normas ayudará al departamento de sistemas a desarrollar un conjunto sólido de normas de configuración de las redes. Estas normas pueden ayudarle también a establecer reglas de acceso, para que Ud. pueda monitorear mejor la actividad y detectar posibles intrusiones. En cuanto a los usuarios, las normas permitirán garantizar que comprenden cuál es el uso adecuado de los recursos de la red corporativa. Estas normas ayudan a establecer procedimientos de gestión de incidentes.

6. Certificaciones Digitales: Elevan el nivel de seguridad en un S.I., ya que el usuario sabe que opera en un sistema seguro. Permite autenticar personas y equipos informáticos. Permite además activar la encriptación de la información que se transmite.

7. Encriptación de las comunicaciones: La comunicación que se transmite entre los S.I. Deben ser encriptados con algoritmos fuertes cuando los datos viajen por redes públicas no seguras. El protocolo de encriptación más utilizado para el comercio electrónico es el SSL que es muy fuerte y se encuentra presente en la mayoría de los browsers.

8. Actualizaciones constantes como: Actualización diaria o semanal en los S.I. con respecto a nuevas vulnerabilidades. Capacitación de los administradores de seguridad. Entrenamiento sobre el manejo de intrusos corporativos y simulación de ataques informáticos. Los S.I. requiere de una organización requiere de todo un conjunto de herramientas que

funcionen de forma sinérgica para así no ser víctima del espionaje corporativo.

23


Bibliografíahttp://www.microsoft.com/business/es-es/Content/Paginas/article.aspx?cbcid=122

http://www.notariado.org/liferay/c/document_library/get_file?folderId=12092&name=DLFE-12710.pdf

http://www.onnet.es/estudio001.pdf

http://www.grupocorpodat.com/servicios_seg_informatica

http://technet.microsoft.com/es-es/library/cc700825.aspx

http://catarina.udlap.mx/u_dl_a/tales/documentos/lis/jerez_l_ca/capitulo1.pdf

http://www.elderecho.com/mercantil/Medios-combatir-competencia-desleal_11_455680001.html

http://www.monografias.com/trabajos13/artesp/artesp.shtml

www.spyzone.com

www.loyola-edu/dept/politics/ecintel.html

www.spysite.com

www.mai-assoc.com

www.cb-security.com

http://www.iec.csic.es/criptonomicon/articulos/expertos58.html

Documents

Seguridad Informática: Empleados Desleales