Consejos y claves para evaluar la seguridad informática de mi empresa Antonio Febrero Antonio Febrero Apasionado del mundo de la Informática, siempre ha estado muy relacionado con la Seguridad Informática Director de Seguridad en Afa Solutions Project. Cuenta con más de 10 años de experiencia como administrador de sistemas Windows, Cisco… Mail: antonio.febrero@afasolutions.es ÍNDICE Que es internet. Cual es el peligro en internet. Porque ocurre Aplicaciones Sociales y app La nube. Más Amenazas. Como evitar el Peligro. Móviles Seguridad en Internet (Contraseñas Seguras, Navegación segura…) Ransomware. Consejos. ¿QUÉ ES INTERNET? DEFINICIÓN TECNICA: Internet es una red de redes que permite la interconexión descentralizada de computadoras a través de un conjunto de protocolos denominado TCP/IP. Tuvo sus orígenes en 1969, cuando una agencia del Departamento de Defensa de los Estados Unidos comenzó a buscar alternativas ante una eventual guerra atómica que pudiera incomunicar a las personas. Tres años más tarde se realizó la primera demostración pública del sistema ideado, gracias a que tres universidades de California y una de Utah lograron establecer una conexión conocida como ARPANET (Advanced Research Projects Agency Network) DEFINICIÓN SIMPLE: Internet es una red a nivel mundial, para acceder a recursos entre usuarios. (Definición propia) ¿QUÉ ES INTERNET? ¿QUÉ ES INTERNET? ¿QUÉ ES INTERNET? ¿QUÉ CONOCEMOS DE INTERNET? ¿CUAL ES EL PELIGRO? ¿Por qué OCURRE ? Se tiende a pensar, que su información o sus sistemas no interesan a nadie. Creer que la seguridad es sólo técnica y por tanto sólo compete a los informáticos. La confidencialidad es algo de espías y grandes multinacionales. Descuidar la gestión de la red y los sistemas Mirar hacia fuera pensando que las amenazas siempre son externas. REDES SOCIALES Y APP Armas de doble filo Establecer relaciones profesionales y realizar networking. Facilitan las relaciones entre empresas. Difundir nuestros productos y servicios. Ganar visibilidad. Generar más trafico a nuestra web. Elabora un código de conducta en las redes sociales donde se normalice de qué se puede hablar y de qué no, o cuándo se solicita la ayuda y cooperación de los trabajadores para la promoción de un determinado producto o servicio. LA NUBE Armas de triple filo El acceso compartido Esto aumenta el riesgo de que nuestros datos privados lleguen, accidentalmente, a manos de otros inquilinos, ya que un fallo permitiría que un intruso asumiera la identidad de otros clientes. Brechas de seguridad virtuales Exploits de servidores virtuales: host de servidor único, invitado a invitado, anfitrión de alojamiento e invitado como anfitrión. Autenticación, autorización y control de acceso Buscar la mayor productividad posible también aumenta el riesgo. Disponibilidad Cuando eres cliente de un proveedor de nube pública, la redundancia y la tolerancia a fallos no está bajo tu control. Propiedad Se trata de un riesgo que pilla a muchos por sorpresa pero, a menudo, el cliente no es el único propietario de los datos. RIESGOS • • • • • • • • • • Privacidad. SPAM Perfiles falsos. Estafas. Robos. Daño a la marca. Phising. Spoofing Mallware Ciberdelicuentes MALWARE CIBERDELINCUENTES Los hacker no son ciberdelincuentes. Existen autenticas mafias en los ciber-delitos. El daño sufrido puede ser irreparable. Trabajar con gente especializada en seguridad informática. Estar atento a tu seguridad evita peligros innecesarios. No denunciar puede agravar la situación. Pedir ayuda es fundamental. CÓMO EVITAR EL PELIGRO Utilizar el sentido común. Ser precavido. Administrar tu wi-fi. Contraseñas seguras. Realiza copias de seguridad. Comprar seguro. Web del banco HTTPS. Cifrar la información Gestión de la red y los sistemas. MOVILES Y TABLET Recomendaciones 1. Antes de descargarte una aplicación móvil lee detenidamente las condiciones que estás aceptando. 2. No descargues aplicaciones que piden permisos que no son necesarios para hacerla funcionar . 3. Prudencia con las aplicaciones gratuitas: muchas no tienen políticas claras de privacidad . 4. Bloquea el acceso a tu webcam de aquellas Apps para las que no sea necesaria. 5. Ten siempre tapada tu webcam mientras no las estés utilizando. MOVILES Y TABLET Recomendaciones 6. Activa la geolocalización de tu dispositivo sólo cuando sea necesario. 7.Envía a través de los sistemas de mensajería instantánea sólo archivos o imágenes que no te importaría que llegaran a ser públicas. 8. Respeta tu salud digital: descansa. Establece sitios en los que no usar los smartphones y apaga tu terminal a una hora prudente para poder descansar. 9. Respeta en tus mensajes o en tus redes la privacidad de los demás. 10. Si tienes cualquier problema pide ayuda. MOVILES Y TABLET ¿Si acceden a mi móvil? ¿Y si me lo roban? Soluciones ESET SEGURIDAD EN INTERNET Contraseñas Seguras • 123456 Ha sido la contraseña más usada en 2015, tanto en banca on-line como en cuentas personales, etcétera. Lista Listade delas las25 25contraseñas contraseñasmás másusadas usadasen en2013 2015 Ranking 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 Contraseña 123456 password 12345678 Qwerty 12345 123456789 football 1234 1234567 baseball welcome 1234567890 abc123 111111 1qaz2wsx dragon master monkey letmein login princess qwertyuiop solo passw0rd starwars Cambio respecto al 2014 = = 1 1 ꜜ2 = 3 ꜜ1 2 ꜜ2 New New 1 1 New ꜜ7 2 ꜜ6 ꜜ6 New New New New New New FORTIFICANDO CONTRASEÑAS FORTIFICANDO CONTRASEÑAS Fuente: http://www.osi.es/es/contrasenas FORTIFICANDO CONTRASEÑAS Recursos para hacer las contraseñas más fuertes NAVEGACIÓN SEGURA Siempre con el HTTPS:// en las webs que visitas. PELIGROS DE LAS WEBCAM - No uses la webcam con personas desconocidas. - Riesgo de ser utilizadas en chantajes sexuales, grooming y agresiones sexuales. - Tapa la webcam cuando no la estés usando. - Sentido común RANSOMWARE - Locky: nuevo ransomware con características comunes al troyano bancario Dridex Propagación por email de un documento malicioso Una de estas campañas se está produciendo durante esta semana, concretamente desde el martes 16 de febrero, a través de mensajes de correo electrónico en inglés que nos hablan de una supuesta factura. Esta factura viene adjunta al mensaje en forma de un documento de Microsoft Word, tiene como nombre InvoiceXXXXXX.doc (donde XXXXXX es un número aleatorio). Información facilitada por ESET. RANSOMWARE RANSOMWARE RANSOMWARE DECÁLOGO SOBRE LOS PELIGROS DE INTERNET • • • • • • • • • • Utilizar un antivirus “original”. Actualizar los sistemas operativos y los antivirus. Saber que un antivirus no te da la seguridad absoluta. Utilizar cuentas de usuarios con pocos privilegios. Tener contraseñas más seguras. Usar el sentido común, no pulsar en cualquier enlace que encontremos. Desconfiar de las descargas de paginas no conocidas. No abrir adjuntos en los correos electrónicos si no sabes su procedencia. No usar la banca on-line JAMAS desde WIFIs públicos. Cuidado con la información que se comparte en la red. Elblogdeangelucho.com x1redmassegura.com CONCLUSIONES CONCLUSIONES Autonomo Si eres autónomo, la seguridad es sencilla de implementar y de administrar y depende única y exclusivamente de ti. ¿Qué deberías tener en cuenta? • Instala un buen antivirus tanto en tu ordenador como en tus dispositivos móviles. • Toma medidas adicionales de seguridad en tus dispositivos móviles. • Cuida las conexiones a Internet que utilizas. • Elige contraseñas fuertes. • Haz copias de seguridad. • Cifra toda la información de tu empresa. Guía básica seguridad para pymes de Eset CONCLUSIONES Pyme hasta 25 empleados Cuando la empresa crece, se necesita incorporar más personal, y dotarle de las herramientas necesarias para que desarrollen su trabajo de la forma más adecuada. ¿Qué deberías tener en cuenta? • Instala antivirus a todos tus empleados y a tu servidor de ficheros. • Establece normas de conexión segura. • Asegura tu red interna. • Instala un firewall perimetral. • Dicta una política de contraseñas seguras. • Utiliza sistemas de alimentación ininterrumpida (SAI) • Utiliza firma electrónica y certificados de seguridad. Cuida la LOPD. • Normaliza un uso seguro de Internet. Guía básica seguridad para pymes de Eset CONCLUSIONES Pyme hasta 250 empleados Cuando alcanzas el volumen de 250 empleados o más, además de todo lo anterior, y conforme más grande va siendo la empresa, más necesaria es tener una estrategia informática bien pensada de acuerdo a las necesidades ¿Qué deberías tener en cuenta? • Asegura tu servidor de correo. • Asegura tu web seguro. • Instala un Gateway seguro. • Implementa un sistema de detección de intrusiones. • Instala un firewall perimetral. • Ten una sólida política de seguridad de empresa. • Cuenta con personal especializado en administración de sistemas y en seguridad. Guía básica seguridad para pymes de Eset + INFO http://www.redseguridad.com/revistas/red/070/index.html#76 www.afasolutions.es/sistemas-informaticos Antonio Febrero Mail: antonio.febrero@afasolutions.es Web: www.afasolutions.es