Importancia del factor humano en la seguridad informática 2.0
1.
2. INDICE
1. El factor humano en la seguridad informática (introducción).
2. Funciones y responsabilidades de los empleados y
directivos.
3. Ingeniería social (definición).
4. Principales técnicas (formas de ataques) de ingeniería
social.
5. Como evitar ser victimas.
6. Ejemplos de ingeniería social. 2
4. El factor humano en la seguridad informática
es la aportación de las habilidades y/o
conocimientos del hombre, basados en la
implementación de medidas de seguridad en
la información.
4
6. Seria recomendable que cada organización elaborara un
reglamento interno sobre seguridad informática,
utilización de Internet y protección de datos. Asimismo,
se deberían dar a conocer las medidas disciplinarias
adoptadas por la organización en caso de
incumplimiento. Todas las normas deberían ser
transmitidas a las personas que se incorporan a la
organización y que puedan tener acceso a sus recursos
informáticos.
6
7. Los empleados deberán firmar un contrato con clausula de
confidencialidad para evitar revelar o proporcionar información de
la empresa u organización a agentes externos.
Cada equipo asignado a un puesto de trabajo estará bajo la
responsabilidad de uno de los usuarios autorizados en el sistema
informático de la organización.
7
8. Antes de abandonar el equipo del puesto de trabajo, ya sea
temporalmente o bien al finalizar su turno de trabajo, deberá
cancelar todas las sesiones activas y conexiones con los
servidores de la red.
Utilizar un protector de pantallas protegido con contraseña.
Bloquear la máquina al alejarse de ella.
Impedir que otros usuarios puedan utilizar su identidad para
acceder al sistema informático.
8
9. No introducir CD, diskettes u otros medios sin la comprobación
previa de que no contienen riesgos de ninguna clase.
Deberá informarse de cualquier incidencia que pudiera afectar a
la seguridad de la red informática o al normal funcionamiento del
sistema.
Los equipos y medios informáticos de la organización no pueden
ser sacados fuera de ésta sin la correspondiente autorización de
los responsables.
Se limitará el acceso a Internet solamente a fines profesionales.
9
11. Se refiere al conjunto de técnicas y trucos empleadas
por intrusos y hackers para extraer información sensible
de los usuarios de un sistema informático.
Los atacantes de la ingeniería social usan la fuerza
persuasiva y se aprovechan de la inocencia del usuario
haciéndose pasar por un compañero de trabajo, un
técnico o un administrador, etc.
11
12. Intrusos que se hacen pasar por empleados de otros departamentos de
la empresa, por personal de un proveedor de servicios de informática,
de un operador de telefonía o de acceso a Internet.
Correos electrónicos que suplantan la identidad de otra persona u
organización, o que incluyen textos o ficheros adjuntos a modo de
reclamo.
Usuarios que utilizan foros y chats en Internet para conseguir tener
acceso a determinados archivos sensibles del sistema o a información
referente a la configuración y medidas de protección de los equipos.12
13. "Shoulder surfing" espionaje de los usuarios para obtener
su nombre de usuario y contraseña, mediante observación
directa de lo que teclean en la computadora.
"Dumpster diving" (basurero) revisión de los papeles y
documentos que se tiran a la basura y no son destruidos
de forma segura.
Puesta en marcha de websites maliciosos que tratan de
engañar a sus usuarios. 13
16. Por sentido común
información personal a
dudosas fuentes.
haga clic en
un enlace a una página
web que le llegue a
través de un e-mail en
el que le piden datos
personales.
Averigüe la identidad
de la otra persona al
solicitar información
precisa (apellido,
nombre, compañía,
número telefónico).
de
cualquier mensaje de
e-mail en el que se le
ofrece la posibilidad de
ganar dinero con
facilidad. 16
18. Instale en su ordenador un
buen de
seguridad que incluya si es
posible funcionalidad
antivirus, para minimizar los
riesgos.
Si es usuario de banca
electrónica o de cualquier
otro servicio que implique
introducir en una
web datos de acceso,
asegúrese de que la
dirección de la web es
correcta.
18
20. Ejemplo 1: Recibir un mensaje por e-mail, donde el
remitente es el gerente o alguien en nombre del
departamento de soporte de tu banco. En el mensaje dice
que el servicio de Internet está presentando algún
problema y que tal problema puede ser corregido si
ejecutas la aplicación que está adjunto al mensaje.
La ejecución de esta aplicación presenta una pantalla
análoga a la que usted utiliza para tener acceso a la
cuenta bancaria, esperando que usted teclee su
contraseña. En verdad, esta aplicación está preparada
para robar tu contraseña de acceso a la cuenta bancaria
y enviarla al atacante.
20
21. Ejemplo 2: Recibir un mensaje de e-mail ,
diciendo que tu computadora está infectada por
un virus.
El mensaje sugiere que instales una herramienta
disponible en un sitio web de Internet para
eliminar el virus de tu computadora. La función
real de esta herramienta no es eliminar un virus,
sino permitir que alguien tenga acceso a tu
computadora y a todos los datos almacenados.21