SlideShare una empresa de Scribd logo

Concientización empresarial en Seguridad de la información

M
Marcos Harasimowicz

El documento aborda la seguridad informática enfocándose en la concientización empresarial sobre ataques comunes, prevención y normas de seguridad. Se destacan conceptos como la disponibilidad, confidencialidad e integridad de la información, así como mejores prácticas para protegerse de amenazas como ransomware, phishing y ataques de ingeniería social. Además, menciona normativas de seguridad que las empresas deben cumplir para evitar multas y proteger sus activos.

Tecnología
Related topics:
PCI DSS TrainingISO 27001 OverviewSeguridad Informática
1 de 36
1
2
3
4
5
6
7
Lo más leído
8
Lo más leído
9
10
Lo más leído
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
CONCIENTIZACIÓN EMPRESARIAL EN SEGURIDAD INFORMÁTICA
AGENDA OBJETIVO SEGURIDAD DE LA INFORMACIÓN ATAQUES MAS COMUNES Y PREVENCIÓN NORMAS DE SEGURIDAD SEGURIDAD EN PUNTOS DE VENTAS (POS)
Saber cuales son los conceptos de seguridad de la información Saber las principales Normas de Seguridad Conocer las técnicas más utilizadas por los atacantes y su prevención Conocer la seguridad básica sobre POS OBJETIVOS
Seguridad de la Información
¿Qué es la Seguridad de la Información? ES LA PRÁCTICA QUE PERMITE DEFENDER LA INFORMACIÓN DE ACCESOS NO AUTORIZADOS
La seguridad informática permite Prevenir caídas y fallas de los sistemas Resguardar la integridad de los datos Proteger la información de la empresa y de los clientes Cumplir con requisitos legales, regulatorios y contractuales Proteger la propiedad intelectual
Principios de seguridad de la información Que la información esté disponible cuando sea necesaria Garantizar que la información no haya sido alterada sin autorización Acceso a la información sólo por personal autorizado DISPONIBILIDAD CONFIDENCIALIDAD INTEGRIDAD
¿Qué es la información segura? INFORMACIÓN DISPONIBILIDAD Cuando se cumplen los 3 principios, la información se considera segura
Ataque mas comunes y prevención
Software malicioso (virus, malware, gusano, troyano, etc) No instalar software sin la autorización del personal de Seguridad Informática o IT. No enviar/recibir adjuntos por mensajería instantánea (Skype, MSN, Whatsapp, etc). No abrir los emails sospechosos. No conectar pendrives de origen desconocido o correrle el antivirus antes de usarse. BUENAS PRÁCTICAS Troyano Software que se presenta como legítimo e inofensivo, pero que, al ejecutarlo, le brinda a un atacante acceso al equipo infectado Gusano Programas que se propagan y pueden causar pérdida de información, daños en los sistemas, robo de información o caída de servicios.
Ataque phishing Aprende a identificar claramente los correos electrónicos sospechosos. Verifica la fuente de información de tus correos entrantes. Nunca entres en la web de tu banco pulsando en links incluidos en correos electrónicos. CONOCIDO COMO SUPLANTACIÓN DE IDENTIDAD QUE SE COMETE MEDIANTE EL USO DE UN TIPO DE INGENIERÍA SOCIAL, CARACTERIZADO POR INTENTAR ADQUIRIR INFORMACIÓN CONFIDENCIAL DE FORMA FRAUDULENTA BUENAS PRÁCTICAS
Ataque phishing EL ATACANTE DEBE SER CAPAZ DE OBSERVAR E INTERCEPTAR MENSAJES ENTRE LAS DOS VÍCTIMAS Y PROCURAR QUE NINGUNA DE LAS VÍCTIMAS CONOZCA QUE EL ENLACE ENTRE ELLOS HA SIDO VIOLADO Usar HTTPS. Usar una VPN. No haga clic en enlaces para obtener acceso a sitios seguros (escriba la dirección del sitio en el navegador). BUENAS PRÁCTICAS
¿Cuándo un sitio web es inseguro? Si al navegar observa alguna de estas ventanas, trate de no ingresar. Si está navegando en una web interna, repórtelo al área de IT. Cuando observe el candado verde de su navegador, es porque es un sitio con cifrado seguro.
Ransomware UN RANSOMWARE ES UN TIPO DE PROGRAMA DAÑINO QUE RESTRINGE EL ACCESO A DETERMINADAS PARTES O ARCHIVOS DEL SISTEMA INFECTADO, Y PIDE UN RESCATE A CAMBIO DE QUITAR ESTA RESTRICCIÓN.​ Caso más famoso  Wannacry
Control de acceso a los sistemas En informática no se concibe el ingreso a un sistema sin una contraseña BUENAS PRÁCTICAS Utilizar contraseñas fuertes (8 caracteres alfanuméricos como mínimo). No anotar las contraseñas y nunca compartirlas. Bloquear el equipo cuando dejamos el sistema sin usar (teclas Windows + L). No habilitar la opción de “recordar contraseña” en los programas que utilice. Por ejemplo, si extravía una laptop o celular, tenga en cuanta que la otra persona podría fácilmente saber sus contraseñas.
Ingeniería Social CONSISTE EN LA MANIPULACIÓN DE LAS PERSONAS PARA QUE VOLUNTARIAMENTE REALICEN ACTOS QUE USUALMENTE NO HARÍAN. UN INTRUSO NORMALMENTE UTILIZA ESTA TÉCNICA CON EL FIN DE CONSEGUIR INFORMACIÓN O LOS MEDIOS PARA INGRESAR A UN SISTEMA DE UNA EMPRESA O PARA EXTORSIONAR A LA VÍCTIMA. EJEMPLOS Permitir el ingreso de una persona que dice ser alguien importante. Entregar información personal o de la Compañía sin saber quien es el interlocutor. Hacer click en correos sospechosos o tipo spam. Colarse para el ingreso o egreso en un área restringida.
Formas de ataque de Ingeniería Social PRESENCIAL (ej: Haciéndose pasar por un auditor) TELEFÓNICA (ej: Haciéndose pasar por personal de sistemas) DISPERSIÓN DE HARDWARE (ej: PenDrives) VÍA E-MAIL (ej: Phishing)
¿Qué es una VPN? Internet se considera una red insegura en si mismo. Si un empleado desea conectarse desde su casa o cualquier lugar externo a la Empresa; debe realizarlo sí o sí mediante una Virtual Private Network - VPN, mitigando de esta forma la inseguridad de Internet. El ingreso a la VPN está conformado por, al menos, 2 tipos de controles de acceso. Por ejemplo, una clave y un certificado/token. Cualquier VPN personal, debe tener por norma un timeout especificado por la compañía como política a seguir. CONCEPTOS EN UNA COMUNICACIÓN SEGURA A TRAVÉS DE INTERNET
Dispositivos móviles CONCEPTOS Las Empresas utilizan equipos de Seguridad llamados Proxys los cuales controlan el acceso a Internet (que es inseguro) de la red interna (que es segura). El Proxy evita que un empleado en la Empresa acceda a un sitio con virus o sospechoso. Al navegar por Internet con el celular se está abriendo una posible entrada entre la red segura (red corporativa) y la red insegura (Internet). CADA CELULAR SE CONSIDERA UN POSIBLE PUNTO DE ENTRADA A LA EMPRESA NO CONTROLADO POR IT
Seguridad Física Seguridad Física Conjunto de mecanismos y acciones que buscan la detección y prevención de riesgos, con el fin de proteger algún recurso o bien material BUENAS PRÁCTICAS No dejar información sensible sobre el escritorio antes de irse. Destruir documentos importantes en desuso. Asegúrese que toda persona ajena a la Empresa que se encuentre en áreas restringidas, debe utilizar en lugar visible la tarjeta de visita.
Seguridad en el Correo Electrónico ES UN PUNTO DE INGRESO DE VIRUS O TROYANOS NO UTILICE EL CORREO PARA FINES PERSONALES, A FIN DE EVITAR ATAQUES DE INGENIERÍA SOCIAL LOS MAILS SERVER POSEEN PROTECCIÓN DE ANTIVIRUS Y ANTISPAM
Seguridad WIFI SI PRESTO LA CLAVE DE WIFI A ALGUIEN, ENTONCES LA MISMA POSEE ACCESO A MI RED INTERNA, ADEMÁS DEL INTERNET. CONCEPTOS No utilizar ningún dispositivo Wifi no autorizado. No utilizar el celular como equipo de navegación en la PC o notebooks Realizar inspecciones de dispositivos Wifi no autorizados regularmente.
Robo de contraseñas por keylogger EL MALWARE “KEY-LOGGER” GRABA TODO LO QUE TIPEAS EN TU MÁQUINA, INCLUSO TUS CLAVES CONCEPTOS Nunca desactives el antivirus. No bajes software que se instalan en tu navegador. Corre al menos mensualmente un escaneo de virus completo de tu PC o notebook.
Cuidados básicos para la Notebook Mantener actualizado el antivirus. No desactivar el Firewall personal. Tener una clave de acceso fuerte para inicio de sesión. No instale software no autorizado. No conecte ningún dispositivo 3G/4G al equipo. Mantener al día las actualizaciones del sistema operativo.
Cuidados básicos para el celular Instalar un antivirus Tener una clave de desbloqueo del teléfono Solo instalar aplicaciones desde tiendas oficiales Prestar atención a los permisos solicitados por las aplicaciones Desactivar Bluetooth y Wifi cuando no estén en uso No almacenar información sensible o confidencial
Caso Wannacry Ocurrió en 2017, ningún antivirus lo detectaba. Produjo miles de millones en pérdidas.
Casos Spectre y Meldtown La vulnerabilidad Meltdown afecta a casi todos los procesadores Intel, permite que un proceso maligno pueda leer sin permisos, cualquier lugar de la memoria. Aun se desconoce el impacto económico, pero su valor como mínimo serían billones de dólares. Spectre es una vulnerabilidad que afecta a los microprocesadores modernos que utilizan predicción de saltos (prácticamente todos los microprocesadores Intel).
Normas de seguridad
Normas de Seguridad Existen varias Normas y regulaciones de Seguridad de la Información que las empresas deben cumplir. Algunas son obligatorias y otras optativas. El no cumplimiento de estas pueden causar multas importantes o la no participación en el mercado.
¿Qué función tiene una norma? En norma es un escudo para proteger los activos de la empresa
Ejemplo de Normas de seguridad
Ejemplo de Normas de seguridad SOX: Norma obligatoria para empresa que cotizan en la bolsa norteamericana RGPD: Norma europea obligatoria para proteger datos personales. En Argentina es el equivalente a Habeas Data NIST: Norma optativa de seguridad basada en los estándares de la industria PCI: Norma obligatoria para proteger los datos de tarjetas de los usuarios ISO 27001: Norma optativa sobre la seguridad de la información de una empresa BCRA 4609: Norma obligatoria sobre entidades bancarias.
Seguridad en los POS
Caso de ataques en equipos POS (Skimmers) La mayoría de los robos de datos de tarjeta, lo hacen mediante estos métodos
Como evitar ataques a los POS Posicionar el dispositivo de entrada de PIN de forma convincente. Instalar de cámaras y alarmas. Generar procedimientos para operar y revisar terminales. Utilizar únicamente equipos aprobados PCI. Devolver terminales fuera de uso directamente al proveedor. Tener un método para identificar quien usa qué terminal en cualquier momento. Realizar capacitaciones anuales.
Muchas gracias

Más contenido relacionado

PDF
Concienciacion en ciberseguridad y buenas prácticas
Javier Tallón
 
PPTX
Phishing
Alexander Velasque Rimac
 
PPTX
Politicas de seguridad informatica
kyaalena
 
PDF
Minuta ejemplo
Unid5istemas
 
PPT
Linea del tiempo
Cintia Faramiñan
 
PDF
Seguridad de la Informacion
Angel Ricardo Marchan Collazos
 
PDF
Evaluación del Diseño y Efectividad de los Controles Internos 12.MAR.2014 - D...
miguelserrano5851127
 
PPTX
Seguridad De la Informacion
Jessicakatherine
 
Concienciacion en ciberseguridad y buenas prácticas
Javier Tallón
 
Phishing
Alexander Velasque Rimac
 
Politicas de seguridad informatica
kyaalena
 
Minuta ejemplo
Unid5istemas
 
Linea del tiempo
Cintia Faramiñan
 
Seguridad de la Informacion
Angel Ricardo Marchan Collazos
 
Evaluación del Diseño y Efectividad de los Controles Internos 12.MAR.2014 - D...
miguelserrano5851127
 
Seguridad De la Informacion
Jessicakatherine
 

La actualidad más candente (20)

PPTX
Seguridad de la informacion
alexaloaiza
 
PPTX
Hacking ético
Paulo Colomés
 
PPT
Presentacion sobre seguridad informatica
rayudi
 
PPT
Ciberseguridad en empresas
Pedro De La Torre Rodríguez
 
PPT
Seguridad informatica
IESTP.CAP.FAP. JOSE ABELARDO QUIÑONES
 
PPT
La seguridad informática en power point
linda gonzalez
 
PPTX
Diapositiva sobre seguridad informática
Pedro Cobarrubias
 
PDF
Ingenieria social.pptx
Luis Flores
 
PPTX
Basic Security Training for End Users
Community IT Innovators
 
PPT
seguridad informatica
yamyortiz17
 
PPTX
Diapositivas la ciberseguridad
Daniela Florez
 
PDF
CIBERSEGURIDAD EN LA CONTINUIDAD DE NEGOCIO
Fabián Descalzo
 
PPT
Iso 27001 2013
Primala Sistema de Gestion
 
PPTX
Seguridad en redes
Jaime Abraham Rivera
 
PPT
Network Security 1st Lecture
babak danyal
 
PPTX
Mecanismos de seguridad informática
Jean Carlos Leon Vega
 
PPTX
Seguridad informatica slideshare
b1cceliagonzalez
 
PDF
End-User Security Awareness
Surya Bathulapalli
 
PPTX
Normas y estándares aplicables a la auditoria informática
Elvin Hernandez
 
PDF
Seguridad en redes
dpovedaups123
 
Seguridad de la informacion
alexaloaiza
 
Hacking ético
Paulo Colomés
 
Presentacion sobre seguridad informatica
rayudi
 
Ciberseguridad en empresas
Pedro De La Torre Rodríguez
 
Seguridad informatica
IESTP.CAP.FAP. JOSE ABELARDO QUIÑONES
 
La seguridad informática en power point
linda gonzalez
 
Diapositiva sobre seguridad informática
Pedro Cobarrubias
 
Ingenieria social.pptx
Luis Flores
 
Basic Security Training for End Users
Community IT Innovators
 
seguridad informatica
yamyortiz17
 
Diapositivas la ciberseguridad
Daniela Florez
 
CIBERSEGURIDAD EN LA CONTINUIDAD DE NEGOCIO
Fabián Descalzo
 
Iso 27001 2013
Primala Sistema de Gestion
 
Seguridad en redes
Jaime Abraham Rivera
 
Network Security 1st Lecture
babak danyal
 
Mecanismos de seguridad informática
Jean Carlos Leon Vega
 
Seguridad informatica slideshare
b1cceliagonzalez
 
End-User Security Awareness
Surya Bathulapalli
 
Normas y estándares aplicables a la auditoria informática
Elvin Hernandez
 
Seguridad en redes
dpovedaups123
 
Publicidad

Similar a Concientización empresarial en Seguridad de la información (20)

PDF
Concientizacion sobre la Ciberseguridad y las TICS.pdf
Condor Tuyuyo
 
PDF
presentacion_jornada_ciberseguridad_ok.pdf
SofiaBruzzo
 
PPTX
Curso de Ethical Hacking
Marcos Harasimowicz
 
PPT
Seguridad En Internet
stephanieherreraj
 
PPTX
Concientizacion_Ciberseguridad_Ordenada.pptx
angelsamuxz
 
PPTX
Seguridad de la información 2017
Ronald Torrez
 
PDF
Seguridad informatica
lauraferreminguillo
 
DOC
Ejercicios informatica
joserrass96
 
PPT
Seguridad de la Información
gerardoafp
 
PPT
Seguridad de la información n
gerardoafp
 
PPT
Seguridad de la Información
gerardoafp
 
PDF
Tic protección de datos y equipos
Martín Pachetta
 
PPT
Unidad 1
Mangelesa
 
DOCX
SEGURIDAD, PRIVACIDAD Y MEDIDAS DE PREVENCIÓN
Andrea0829
 
PPTX
Seguridad Informatica.pptx
JohannaF3
 
DOCX
CIBERSEGURIDAD PERUANA I2I828283727272u3ueu3uu3u3y2
elbromas777xdlol
 
PDF
Ciber Seguridad Oscar Pacheco para Gente
OscarPachecoMuoz
 
PDF
CIBERSEGURIDAD HABIILIDADES DIGITALES.pdf
alvarezpau624
 
PPTX
Profesionalizacion y certificacion en ciberseguridad 2
jalecastro
 
PDF
Trabajo subida de nota TICO Alba Velasco 2.1.pdf
Alba69583
 
Concientizacion sobre la Ciberseguridad y las TICS.pdf
Condor Tuyuyo
 
presentacion_jornada_ciberseguridad_ok.pdf
SofiaBruzzo
 
Curso de Ethical Hacking
Marcos Harasimowicz
 
Seguridad En Internet
stephanieherreraj
 
Concientizacion_Ciberseguridad_Ordenada.pptx
angelsamuxz
 
Seguridad de la información 2017
Ronald Torrez
 
Seguridad informatica
lauraferreminguillo
 
Ejercicios informatica
joserrass96
 
Seguridad de la Información
gerardoafp
 
Seguridad de la información n
gerardoafp
 
Seguridad de la Información
gerardoafp
 
Tic protección de datos y equipos
Martín Pachetta
 
Unidad 1
Mangelesa
 
SEGURIDAD, PRIVACIDAD Y MEDIDAS DE PREVENCIÓN
Andrea0829
 
Seguridad Informatica.pptx
JohannaF3
 
CIBERSEGURIDAD PERUANA I2I828283727272u3ueu3uu3u3y2
elbromas777xdlol
 
Ciber Seguridad Oscar Pacheco para Gente
OscarPachecoMuoz
 
CIBERSEGURIDAD HABIILIDADES DIGITALES.pdf
alvarezpau624
 
Profesionalizacion y certificacion en ciberseguridad 2
jalecastro
 
Trabajo subida de nota TICO Alba Velasco 2.1.pdf
Alba69583
 
Publicidad

Más de Marcos Harasimowicz (6)

PPTX
La norma PCI-DSS
Marcos Harasimowicz
 
PPTX
Seguridad en dispositivos móviles
Marcos Harasimowicz
 
PPTX
Curso de CISSP - Parte 1 de 10
Marcos Harasimowicz
 
PPTX
Introducción a la Gestión de Riesgo
Marcos Harasimowicz
 
PPTX
Seguridad web para desarrolladores - OWASP
Marcos Harasimowicz
 
PPTX
Introducción a redes SAN
Marcos Harasimowicz
 
La norma PCI-DSS
Marcos Harasimowicz
 
Seguridad en dispositivos móviles
Marcos Harasimowicz
 
Curso de CISSP - Parte 1 de 10
Marcos Harasimowicz
 
Introducción a la Gestión de Riesgo
Marcos Harasimowicz
 
Seguridad web para desarrolladores - OWASP
Marcos Harasimowicz
 
Introducción a redes SAN
Marcos Harasimowicz
 

Último (20)

PPTX
Normas de la sala de informática Segundo
SilviaFernandaCesped
 
PDF
clase 9 PIN DE CARGA.pdf curso de reparacion de celulares
pedrazasmercadosebas
 
PDF
Tecnología 2.0 (1).pdf, diagrama de pareto
paulavallejo21
 
PPTX
INTERNET DE LAS COSAS EN LA ACTUALIDAD.pptx
dennispedagogia
 
PPTX
Telecomunicaciones proyeccion de ventas 2025.pptx
miguelolivarren2
 
PDF
DIAGRAMA DE PARETO M Camila Duque Loaiza
MariacamilaDuqueloai
 
PDF
Tecnología 2do período Eliana valencia.
ElianaValencia28
 
PDF
Chile Claro Swap Project Guidebook Version 1.4.1b.pdf
DarkoAlmanzaTrujillo
 
DOCX
tecnologia actividad segundo periodo.docx
samuelcuaran
 
PDF
DIAGRAMA DE PARETO M. Camila Duque Loaiz
MariacamilaDuqueloai
 
PDF
Distribución de Frecuencias Excel Eleazar Muñoz
Eleazar88
 
PDF
Tecnología. Programación pseint 10-7 Sol Riaño Támara
edepsolriano
 
PDF
2do grado medios de transportes.pdf para el primario
AndreaAlegre18
 
PPTX
INTRODUCCION A BASE DE DATOS NIVELBASICO 6
Cangrilg
 
PDF
Distribución de frecuencias y diagrama de pareto en Excel
Eleazar88
 
PDF
Las tics en la sociedad como a cambiado nuestro entorno.pdf
gomezpereza332
 
PDF
Excel Avanzado ..........................
Alejo857214
 
PDF
Trabajo Tecnología #2 Periodo (2).pdfjdjfjf
ssuser57b6e41
 
PDF
excel.pdf valentinamueses111 trabajo tecnologia
4zz5vkthyk
 
PDF
Trabajo grupal segundo periodo Tecnología .pdf
edepemanuelflechas
 
Normas de la sala de informática Segundo
SilviaFernandaCesped
 
clase 9 PIN DE CARGA.pdf curso de reparacion de celulares
pedrazasmercadosebas
 
Tecnología 2.0 (1).pdf, diagrama de pareto
paulavallejo21
 
INTERNET DE LAS COSAS EN LA ACTUALIDAD.pptx
dennispedagogia
 
Telecomunicaciones proyeccion de ventas 2025.pptx
miguelolivarren2
 
DIAGRAMA DE PARETO M Camila Duque Loaiza
MariacamilaDuqueloai
 
Tecnología 2do período Eliana valencia.
ElianaValencia28
 
Chile Claro Swap Project Guidebook Version 1.4.1b.pdf
DarkoAlmanzaTrujillo
 
tecnologia actividad segundo periodo.docx
samuelcuaran
 
DIAGRAMA DE PARETO M. Camila Duque Loaiz
MariacamilaDuqueloai
 
Distribución de Frecuencias Excel Eleazar Muñoz
Eleazar88
 
Tecnología. Programación pseint 10-7 Sol Riaño Támara
edepsolriano
 
2do grado medios de transportes.pdf para el primario
AndreaAlegre18
 
INTRODUCCION A BASE DE DATOS NIVELBASICO 6
Cangrilg
 
Distribución de frecuencias y diagrama de pareto en Excel
Eleazar88
 
Las tics en la sociedad como a cambiado nuestro entorno.pdf
gomezpereza332
 
Excel Avanzado ..........................
Alejo857214
 
Trabajo Tecnología #2 Periodo (2).pdfjdjfjf
ssuser57b6e41
 
excel.pdf valentinamueses111 trabajo tecnologia
4zz5vkthyk
 
Trabajo grupal segundo periodo Tecnología .pdf
edepemanuelflechas
 

Concientización empresarial en Seguridad de la información

  • 2. AGENDA OBJETIVO SEGURIDAD DE LA INFORMACIÓN ATAQUES MAS COMUNES Y PREVENCIÓN NORMAS DE SEGURIDAD SEGURIDAD EN PUNTOS DE VENTAS (POS)
  • 3. Saber cuales son los conceptos de seguridad de la información Saber las principales Normas de Seguridad Conocer las técnicas más utilizadas por los atacantes y su prevención Conocer la seguridad básica sobre POS OBJETIVOS
  • 4. Seguridad de la Información
  • 5. ¿Qué es la Seguridad de la Información? ES LA PRÁCTICA QUE PERMITE DEFENDER LA INFORMACIÓN DE ACCESOS NO AUTORIZADOS
  • 6. La seguridad informática permite Prevenir caídas y fallas de los sistemas Resguardar la integridad de los datos Proteger la información de la empresa y de los clientes Cumplir con requisitos legales, regulatorios y contractuales Proteger la propiedad intelectual
  • 7. Principios de seguridad de la información Que la información esté disponible cuando sea necesaria Garantizar que la información no haya sido alterada sin autorización Acceso a la información sólo por personal autorizado DISPONIBILIDAD CONFIDENCIALIDAD INTEGRIDAD
  • 8. ¿Qué es la información segura? INFORMACIÓN DISPONIBILIDAD Cuando se cumplen los 3 principios, la información se considera segura
  • 9. Ataque mas comunes y prevención
  • 10. Software malicioso (virus, malware, gusano, troyano, etc) No instalar software sin la autorización del personal de Seguridad Informática o IT. No enviar/recibir adjuntos por mensajería instantánea (Skype, MSN, Whatsapp, etc). No abrir los emails sospechosos. No conectar pendrives de origen desconocido o correrle el antivirus antes de usarse. BUENAS PRÁCTICAS Troyano Software que se presenta como legítimo e inofensivo, pero que, al ejecutarlo, le brinda a un atacante acceso al equipo infectado Gusano Programas que se propagan y pueden causar pérdida de información, daños en los sistemas, robo de información o caída de servicios.
  • 11. Ataque phishing Aprende a identificar claramente los correos electrónicos sospechosos. Verifica la fuente de información de tus correos entrantes. Nunca entres en la web de tu banco pulsando en links incluidos en correos electrónicos. CONOCIDO COMO SUPLANTACIÓN DE IDENTIDAD QUE SE COMETE MEDIANTE EL USO DE UN TIPO DE INGENIERÍA SOCIAL, CARACTERIZADO POR INTENTAR ADQUIRIR INFORMACIÓN CONFIDENCIAL DE FORMA FRAUDULENTA BUENAS PRÁCTICAS
  • 12. Ataque phishing EL ATACANTE DEBE SER CAPAZ DE OBSERVAR E INTERCEPTAR MENSAJES ENTRE LAS DOS VÍCTIMAS Y PROCURAR QUE NINGUNA DE LAS VÍCTIMAS CONOZCA QUE EL ENLACE ENTRE ELLOS HA SIDO VIOLADO Usar HTTPS. Usar una VPN. No haga clic en enlaces para obtener acceso a sitios seguros (escriba la dirección del sitio en el navegador). BUENAS PRÁCTICAS
  • 13. ¿Cuándo un sitio web es inseguro? Si al navegar observa alguna de estas ventanas, trate de no ingresar. Si está navegando en una web interna, repórtelo al área de IT. Cuando observe el candado verde de su navegador, es porque es un sitio con cifrado seguro.
  • 14. Ransomware UN RANSOMWARE ES UN TIPO DE PROGRAMA DAÑINO QUE RESTRINGE EL ACCESO A DETERMINADAS PARTES O ARCHIVOS DEL SISTEMA INFECTADO, Y PIDE UN RESCATE A CAMBIO DE QUITAR ESTA RESTRICCIÓN.​ Caso más famoso  Wannacry
  • 15. Control de acceso a los sistemas En informática no se concibe el ingreso a un sistema sin una contraseña BUENAS PRÁCTICAS Utilizar contraseñas fuertes (8 caracteres alfanuméricos como mínimo). No anotar las contraseñas y nunca compartirlas. Bloquear el equipo cuando dejamos el sistema sin usar (teclas Windows + L). No habilitar la opción de “recordar contraseña” en los programas que utilice. Por ejemplo, si extravía una laptop o celular, tenga en cuanta que la otra persona podría fácilmente saber sus contraseñas.
  • 16. Ingeniería Social CONSISTE EN LA MANIPULACIÓN DE LAS PERSONAS PARA QUE VOLUNTARIAMENTE REALICEN ACTOS QUE USUALMENTE NO HARÍAN. UN INTRUSO NORMALMENTE UTILIZA ESTA TÉCNICA CON EL FIN DE CONSEGUIR INFORMACIÓN O LOS MEDIOS PARA INGRESAR A UN SISTEMA DE UNA EMPRESA O PARA EXTORSIONAR A LA VÍCTIMA. EJEMPLOS Permitir el ingreso de una persona que dice ser alguien importante. Entregar información personal o de la Compañía sin saber quien es el interlocutor. Hacer click en correos sospechosos o tipo spam. Colarse para el ingreso o egreso en un área restringida.
  • 17. Formas de ataque de Ingeniería Social PRESENCIAL (ej: Haciéndose pasar por un auditor) TELEFÓNICA (ej: Haciéndose pasar por personal de sistemas) DISPERSIÓN DE HARDWARE (ej: PenDrives) VÍA E-MAIL (ej: Phishing)
  • 18. ¿Qué es una VPN? Internet se considera una red insegura en si mismo. Si un empleado desea conectarse desde su casa o cualquier lugar externo a la Empresa; debe realizarlo sí o sí mediante una Virtual Private Network - VPN, mitigando de esta forma la inseguridad de Internet. El ingreso a la VPN está conformado por, al menos, 2 tipos de controles de acceso. Por ejemplo, una clave y un certificado/token. Cualquier VPN personal, debe tener por norma un timeout especificado por la compañía como política a seguir. CONCEPTOS EN UNA COMUNICACIÓN SEGURA A TRAVÉS DE INTERNET
  • 19. Dispositivos móviles CONCEPTOS Las Empresas utilizan equipos de Seguridad llamados Proxys los cuales controlan el acceso a Internet (que es inseguro) de la red interna (que es segura). El Proxy evita que un empleado en la Empresa acceda a un sitio con virus o sospechoso. Al navegar por Internet con el celular se está abriendo una posible entrada entre la red segura (red corporativa) y la red insegura (Internet). CADA CELULAR SE CONSIDERA UN POSIBLE PUNTO DE ENTRADA A LA EMPRESA NO CONTROLADO POR IT
  • 20. Seguridad Física Seguridad Física Conjunto de mecanismos y acciones que buscan la detección y prevención de riesgos, con el fin de proteger algún recurso o bien material BUENAS PRÁCTICAS No dejar información sensible sobre el escritorio antes de irse. Destruir documentos importantes en desuso. Asegúrese que toda persona ajena a la Empresa que se encuentre en áreas restringidas, debe utilizar en lugar visible la tarjeta de visita.
  • 21. Seguridad en el Correo Electrónico ES UN PUNTO DE INGRESO DE VIRUS O TROYANOS NO UTILICE EL CORREO PARA FINES PERSONALES, A FIN DE EVITAR ATAQUES DE INGENIERÍA SOCIAL LOS MAILS SERVER POSEEN PROTECCIÓN DE ANTIVIRUS Y ANTISPAM
  • 22. Seguridad WIFI SI PRESTO LA CLAVE DE WIFI A ALGUIEN, ENTONCES LA MISMA POSEE ACCESO A MI RED INTERNA, ADEMÁS DEL INTERNET. CONCEPTOS No utilizar ningún dispositivo Wifi no autorizado. No utilizar el celular como equipo de navegación en la PC o notebooks Realizar inspecciones de dispositivos Wifi no autorizados regularmente.
  • 23. Robo de contraseñas por keylogger EL MALWARE “KEY-LOGGER” GRABA TODO LO QUE TIPEAS EN TU MÁQUINA, INCLUSO TUS CLAVES CONCEPTOS Nunca desactives el antivirus. No bajes software que se instalan en tu navegador. Corre al menos mensualmente un escaneo de virus completo de tu PC o notebook.
  • 24. Cuidados básicos para la Notebook Mantener actualizado el antivirus. No desactivar el Firewall personal. Tener una clave de acceso fuerte para inicio de sesión. No instale software no autorizado. No conecte ningún dispositivo 3G/4G al equipo. Mantener al día las actualizaciones del sistema operativo.
  • 25. Cuidados básicos para el celular Instalar un antivirus Tener una clave de desbloqueo del teléfono Solo instalar aplicaciones desde tiendas oficiales Prestar atención a los permisos solicitados por las aplicaciones Desactivar Bluetooth y Wifi cuando no estén en uso No almacenar información sensible o confidencial
  • 26. Caso Wannacry Ocurrió en 2017, ningún antivirus lo detectaba. Produjo miles de millones en pérdidas.
  • 27. Casos Spectre y Meldtown La vulnerabilidad Meltdown afecta a casi todos los procesadores Intel, permite que un proceso maligno pueda leer sin permisos, cualquier lugar de la memoria. Aun se desconoce el impacto económico, pero su valor como mínimo serían billones de dólares. Spectre es una vulnerabilidad que afecta a los microprocesadores modernos que utilizan predicción de saltos (prácticamente todos los microprocesadores Intel).
  • 29. Normas de Seguridad Existen varias Normas y regulaciones de Seguridad de la Información que las empresas deben cumplir. Algunas son obligatorias y otras optativas. El no cumplimiento de estas pueden causar multas importantes o la no participación en el mercado.
  • 30. ¿Qué función tiene una norma? En norma es un escudo para proteger los activos de la empresa
  • 31. Ejemplo de Normas de seguridad
  • 32. Ejemplo de Normas de seguridad SOX: Norma obligatoria para empresa que cotizan en la bolsa norteamericana RGPD: Norma europea obligatoria para proteger datos personales. En Argentina es el equivalente a Habeas Data NIST: Norma optativa de seguridad basada en los estándares de la industria PCI: Norma obligatoria para proteger los datos de tarjetas de los usuarios ISO 27001: Norma optativa sobre la seguridad de la información de una empresa BCRA 4609: Norma obligatoria sobre entidades bancarias.
  • 34. Caso de ataques en equipos POS (Skimmers) La mayoría de los robos de datos de tarjeta, lo hacen mediante estos métodos
  • 35. Como evitar ataques a los POS Posicionar el dispositivo de entrada de PIN de forma convincente. Instalar de cámaras y alarmas. Generar procedimientos para operar y revisar terminales. Utilizar únicamente equipos aprobados PCI. Devolver terminales fuera de uso directamente al proveedor. Tener un método para identificar quien usa qué terminal en cualquier momento. Realizar capacitaciones anuales.