PDF de programación - guía del empleado seguro

Guía del
empleado seguro

INTRODUCCIÓN

La seguridad de la información en una empresa es responsabilidad del depar-

tamento de IT (tecnologías de la información) o del propio área de Seguridad

de la Información (por lo general, en empresas más grandes). Sin embargo,

es una tarea de toda la compañía cuidar la información, ya que en las empre-

sas actuales, todos los integrantes trabajan de una u otra forma con datos

e información; y por lo tanto todos ellos podrían generar que ocurra un inci-

dente sobre estos que altere la seguridad.

En ese contexto, esta guía pretende ayudar a los empleados de las organi-

zaciones a cuidar y bregar por la seguridad de la información en la organiza-

ción, a partir de una comprensión de la problemática, una descripción de las

principales amenazas y, finalmente, una enumeración de las buenas prácti-

cas para tal fin.

Un empleado seguro es aquel que cuenta con la educación para administrar

y utilizar los recursos de la empresa de manera segura y eficiente. La presente

guía lo ayudará a convertirse en un empleado seguro, ayudando y colaboran-

do con su organización y el bienestar en su puesto de trabajo.

2

SeGURIDaD De la INfORmaCIÓN

La Seguridad de la Información se encarga de garantizar la integridad, dis-

Los incidentes de seguridad de la información pueden ser inter-

ponibilidad y confidencialidad de la información de la empresa en búsque-

nos o externos; y a la vez maliciosos o involuntarios, como indican

da de cuidar el negocio.

los siguientes ejemplos:

confidencialidad
La confidencialidad de la información es la necesidad de que esta solo sea conocida
por personas autorizadas.

Por ejemplo, si un usuario cualquier pudiera acceder a la base de datos de un servidor
web, o cualquier empleado pudiera conocer la información contable de la empresa, se
estaría vulnerando la confidencialidad de la información.

malicioso

INTeRNO

eXTeRNO

Un empleado
enojado destruye
un documento
importante.

Un atacante realiza un
ataque de denegación
de servicio contra
el sitio web de la
organización.

integridad
La integridad de la información es la característica que hace que su contenido per-
manezca inalterado, a menos que sea modificado por personal autorizado.

Por ejemplo, si un atacante pudiera modificar los precios de venta de un sitio web, o un
empleado ajeno al área de ventas pudiera hacerlo, se estaría vulnerando la integridad
de la información.

disponibilidad
La disponibilidad de la información es su capacidad de estar siempre disponible en el
momento que la necesiten, para ser procesada por las personas autorizadas.

Por ejemplo, un ataque contra un sistema de venta en línea, o un problema en un ser-
vidor que hiciera que este se apague estarían vulnerando la disponibilidad de la infor-
mación.

Involuntario

Un empleado pierde
un dispositivo
USB donde había
copiado información
confidencial de la
empresa.

Un exceso de visitas
a un sitio web hace
que este deje de
funcionar y se pierda la
disponibilidad.

3

laS POlíTICaS De SeGURIDaD

Es ideal que toda empresa cuente con una política de seguridad con el obje-

tivo de que todos los empleados conozcan cuán importante es la protección

de la información para la empresa. Cuando un empleado ingresa debe cono-

cer cuáles son los mecanismos básicos para el manejo seguro de la informa-

ción y los datos de la empresa. En algunas compañías se hace entrega de un

documento conocido como políticas de seguridad. Cuando este documento

es firmado, la persona confirma que entiende y va a acatar las políticas de-

finidas en este. De esta manera, se compromete a cumplir las normativas

de seguridad definidas por la organización. Es necesario comprender que la

existencia de este documento es con el fin de proteger los activos de la com-

pañía.

1

Un empleado seguro, lee, conoce, entiende y respeta lo
indicado en las políticas de seguridad de la compañía.

En caso que la empresa no cuente con un documento de Políticas de seguri-

dad es necesario consultar con el departamento correspondiente para saber

los procedimientos a seguir y las buenas prácticas recomendadas por la com-

pañía.

4

HeRRamIeNTaS De SeGURIDaD

Las tecnologías son la base de la seguridad informática en las empresas. Las

tecnologías más comunes en la computadora son las siguientes:

antivirus
Protege los equipos y su información de distintos ataques de có-
digos maliciosos. Los antivirus más efectivos incluso protegen
proactivamente ante malware nuevo o desconocido.

firewall
Puede estar integrado con el antivirus y protege al equipo infor-
mático de las conexiones de Internet entrantes y salientes que se
quieren realizar en diversos tipos de ataque o también las automá-
ticas que se intentan realizar desde el equipo.

antispam
Es un software que muchas veces está integrado con la solución
antivirus o con el cliente de correo y permite a la persona no recibir
spam o correos no deseados en su bandeja de entrada corporativa.

2

Un empleado seguro debe conocer y respetar las herra-
mientas instaladas en su computadora, y estar atento a las
alertas de estas.

Además, hay muchas otras herramientas que suelen ser implementadas por las empresas en
el perímetro de la red o directamente en los servidores para proteger al negocio y que no son
visibles para los integrantes de la compañía, como por ejemplo: proxy, IDPS, IPS, firewall peri-
metral, actualización de parches; entre otras.

5

malwaRe

El malware (acrónimo de malicious software) es uno de los ataques más co-

munes de la actualidad. El malware, también conocido como códigos ma-

liciosos, son archivos con fines dañinos que, al infectar una computadora,

poseen diversas acciones dañinas como el robo de información, el control del

sistema o la captura de contraseñas. Entre muchas de las categorías existen-

tes se destacan los gusanos, troyanos, virus; entre otros.

La infección de un código malicioso pareciera no impactar en su trabajo

diario, sin embargo, ¿qué sucede si toda la información que almacena en su

equipo se perdiera? ¿Cuánto vale el tiempo que estaría sin poder trabajar? ¿Y

cuánto la dedicación del departamento de IT para solucionar el inconvenien-

te? Ambas situaciones afectan directamente el rendimiento de la empresa,

por ende, cuestan dinero.

Además, existen códigos maliciosos que son utilizados para el robo de in-

formación por lo que, incluso, podrían afectar directamente al negocio de la

compañía o cuestiones personales de los empleados que tuvieran o utiliza-

ran en la computadora laboral.

3

Un empleado seguro conoce los códigos maliciosos más
comunes y posee buenas prácticas para evitar la infección
de su equipo.

6

INGeNIeRía SOCIal

La Ingeniería Social es la utilización de habilidades sociales para manipular el

accionar de una persona. A partir de estas estrategias, los desarrolladores de

códigos maliciosos y atacantes informáticos suelen utilizar distintos medios

para engañar y así comprometer la seguridad de la empresa.

Por ejemplo, a través de correos falsos que indiquen la necesidad de brindar

información confidencial, falsos llamados telefónicos o propagación de códi-

gos maliciosos en las redes sociales simulando ser aplicaciones integradas.

Este tipo de técnicas buscan lograr que se realice una acción que podría com-

prometer la seguridad de la compañía, afectando así también al negocio. Por

ejemplo, un correo falso que solicita un listado de clientes. Si la víctima no se

da cuenta de la veracidad del correo, podría entregar información sensible de

los clientes, y así afectar la confidencialidad de la información.

Además, hay ataques de Internet que utilizan mensajes de Ingeniería Social

no directamente relacionado con la compañía como puede ser la muerte de

un famoso o una catástrofe natural y que, al ser víctima del ataque, se puede

perder información sensible para la compañía.

4

Un empleado seguro está atento a este tipo de mensajes y
puede identificar posible ataques de Ingeniería Social.

7

RObO De INfORmaCIÓN

Uno de los mayores problemas posibles en una organización es el robo de

información sensible; cuya publicación pueda afectar al negocio. El incidente

puede ser generado por un mal accionar de las personas y no solo por una

acción maliciosa. Es necesario entender que el robo de información no solo

se puede dar a través de medios digitales, sino que también involucra al ma-

terial físico. Si alguien ajeno a la compañía accede a datos confidenciales,

el negocio se podría ver afectado de diversas formas. Estadísticas de ESET

indican que, ante un caso de robo de información, el 62,9% de las personas

dejarían de utilizar el servicio, es decir, que la empresa podría perder a 6 de

cada 10 clientes por no proteger bien sus datos. El impacto que puede signi-

ficar ser víctima de la fuga de información remarca que todos los integrantes

de la empresa deben cuidar la información. Por ejemplo, si alguien se olvida

un documento confidencial en un lugar público, como el plan de marketing o

la lista de clientes, esto podría caer en manos de la competencia y revelar la

estrategia de la compañía.

5

Un empleado seguro está atento a la información que se
está transportando tanto a nivel digital como físico para
evitar la fuga de información.

Además, a la hora de desechar material impreso con información confiden-

cial es necesario destruirlo de forma adecuada antes de arrojarlo a la basura.

8

DISPOSITIvOS mÓvIleS

La tecnología y la incorporación de los smartphones a las empresas permiten

el acceso a la información en todo momento, aunque transportar informa-

ción sensible en dispositivos móviles podría ser un gran riesgo, ya que puede

abrir las puertas a la fuga o al robo de información. Entonces, ¿qué pasa si se

pierde o es robado el teléfono de la empresa?

Para no ser re