CIBERSEGURIDAD PARA

AUTÓNOMOS Y
MICROEMPRESAS

Unidad 13
Prevención y Protección.
Conclusiones
Parte teórica
índice

1 INTRODUCCION ►

2 PREVENCIÓN Y PROTECCIÓN ►

3 MEDIDAS ESPECÍFICAS ►

4 CONCIENCIACIÓN ►

5 CONCLUSIONES ►

2
Objetivos

Comprender que abordar la seguridad de la información

es clave debido a la relevancia de la información para
cualquier tipo de negocio.

Identificar los activos de información que son

fundamentales para el desarrollo del negocio, y las
amenazas y vulnerabilidades a las que puede estar
expuesto.

Entender la relevancia de la ciberseguridad debido al

uso de las TIC en un negocio y los beneficios que
ofrece las medidas de prevención y protección en el
desarrollo de la actividad profesional.

Desarrollar la capacidad de gestionar incidentes y la

actitud proactiva de diseñar un Plan B ante dichos
incidentes.

Concienciar a colaboradores y terceros de la

importancia de conocer las amenazas que
pueden comprometer el buen funcionamiento
de las actividades profesionales y de las
medidas que existen para mitigar los riesgos.

3
1. INTRODUCCIÓN
1. INTRODUCCIÓN

Los mercados digitales y globales están al alcance de autónomos y pymes a través de internet.

¡Los negocios de éxito serán aquellos que se adapten a este nuevo entorno,
entendiendo las nuevas tecnologías y sacando el máximo partido de ellas!

Al igual que la seguridad en el mundo físico, la ciberseguridad tiene una gran trascendencia e
impacto para las personas y para los negocios. De todos depende alcanzar un grado de
seguridad y de confianza que permita un desarrollo económico favorable para todos.

La ciberseguridad es hoy uno de los retos más importantes a los que se

enfrentan gobiernos, empresas y ciudadanos.

La ciberseguridad es esencial en un entorno interconectado y dependiente de la tecnología.

Durante este curso hemos adquirido conciencia de la relevancia de la ciberseguridad para garantizar el
buen uso de los recursos tecnológicos dentro de la organización.

5
 1. INTRODUCCIÓN – SEGURIDAD DE LA INFORMACIÓN

¿Quién debe proteger la ¿Qué debemos tener en

información? cuenta?

La información que maneja un negocio para Esta información se crea, transforma,

el desarrollo de su actividad profesional es almacena, transmite y elimina a través de
uno de los valores que debe proteger el distintos medios/entornos que también
propietario del negocio para asegurar la DEBEN protegerse en función de su valor
buena marcha del mismo. para el negocio.

Esta información puede estar relacionada Estos medios y entornos son:

con:

Proveedores Productos y servicios

Clientes Modelo de gestión Bases de datos
Empleados Herramientas y recursos materiales Aplicaciones
Internet
Cloud (la nube)
Servidores
Redes
6
1. INTRODUCCIÓN – SEGURIDAD DE LA INFORMACIÓN

¿Qué tengo que proteger?

La seguridad de la información se articula en tres dimensiones o propiedades que tenemos

que garantizar pues son los pilares para proteger la información:

Disponibilidad: por la cual la información

debe estar accesible y utilizable por las
entidades (usuarios, procesos,…) autorizadas.

Disponibilidad
z
Confidencialidad: por la cual la
información no debe ponerse a
Integridad: por la cual la disposición o revelarse a
información debe poder y individuos, entidades o procesos
conservar su exactitud y no autorizados.
completitud. X
Confidencialidad
Integridad

7
 1. INTRODUCCIÓN – SEGURIDAD DE LA INFORMACIÓN

¿QUÉ SON LOS ACTIVOS DE INFORMACIÓN?

La ciberseguridad protege la disponibilidad, integridad y confidencialidad de la información:

Almacenada, enviada y recibida desde el móvil o la tableta: contactos, correos electrónicos,

imágenes, SMS, WhatsApp, etc.

Almacenada en dispositivos digitales: memorias USB, portátil (listados de clientes,

compras/ventas, catálogos de productos…).
Gestionada a través de aplicaciones desde distintos dispositivos.
Que tratamos con programas de gestión de bases de datos, hojas de cálculo, CRM, ERP,
etc., es decir los datos de nuestros clientes y de nuestro negocio.

Los propios programas y aplicaciones y los sistemas operativos.

Enviada y recibida por internet, por ejemplo por correo electrónico o la que almacenamos o tratamos en
cloud.

También protege la información digital de la página web o en la tienda online de la empresa.

Las credenciales de acceso (usuario y contraseña) a servicios, programas, aplicaciones, sistemas y

dispositivos que utilizamos, nuestras y de nuestros clientes o usuarios.

LOS ACTIVOS DE INFORMACIÓN SON TODOS LOS ELEMENTOS RELACIONADOS CON LA

MISMA QUE TIENEN VALOR PARA LA EMPRESA

8
 1. INTRODUCCIÓN – AMENAZAS Y VULNERABILIDADES

¿QUÉ SON LAS AMENAZAS Y LAS VULNERABILIDADES?

Una vulnerabilidad* es una debilidad o fallo en Una amenaza es todo elemento que aprovecha
un sistema de información que pone en riesgo la una vulnerabilidad para atentar contra la seguridad
seguridad de nuestros activos de información. de un activo de información.

(*) Recordamos que son vulnerabilidades, además de los fallos en el software o en el hardware:
La falta de procedimientos o si existen pero no se aplican
Las carencias de formación de las personas
La ubicación poco acertada de los equipos ( por ejemplo, en un lugar con riesgo de inundación)

Cuando una amenaza aprovecha la debilidad o vulnerabilidad de uno de nuestros sistemas de

información nos encontramos ante un incidente de seguridad.

9
 1. INTRODUCCIÓN - AMENAZAS

MALWARE EXPLOIT ATAQUES DE DENEGACIÓN PHISHING APT

DE SERVICIO (DOS) Amenaza
También Es un programa Este tipo de ataque se persistente
llamado código que aprovecha una Se entiende como realiza comúnmente a avanzada
malicioso; vulnerabilidad de denegación de servicio a un través de correos
incluye virus, un sistema conjunto de técnicas cuyo electrónicos (e-mail) Amenazas
gusanos, informático para objetivo es inutilizar un donde se intenta complejas
troyanos, etc. robar datos o servidor (por ejemplo la convencer a un usuario avanzadas y
contraseñas de los web de una empresa). para que confíe en el persistentes, a
usuarios, espiar la contenido del email, través de
actividad de los Un ataque de Denegación con la intención de ataques
mismos, controlar de Servicio Distribuido obtener información coordinados
o modificar la (DDoS) es más sofisticado y (por ejemplo dirigidos a una
configuración del permite enviar peticiones contraseñas o claves de entidad u
equipo, entre coordinadas entre distintos acceso). Este tipo de organización
otros. equipos a un mismo ataques también puede específica.
servidor para inutilizarlo o realizarse a través de
«tirarlo». WhatsApp, servicios de
mensajería, etc.

10
 1. INTRODUCCIÓN - RIESGOS

¿QUÉ ES EL RIESGO?

En el ámbito de la ciberseguridad el riesgo

se define por la normativa de aplicación (*)
como la posibilidad de que una amenaza
concreta pueda aprovechar una
vulnerabilidad para causar una pérdida
o daño en un activo de información.

AMENAZA ACTIVO

RIESGO

Suele considerarse como una

VULNERABILIDAD combinación de la probabilidad de un
evento (es decir, de que una amenaza
aproveche una vulnerabilidad en un activo
de información) y sus consecuencias
(magnitud del daño resultante para el
negocio, en términos económicos).

(*) ISO/IEC 27005. Gestión de riesgos de la Seguridad de la Información.

11
 1. INTRODUCCIÓN - RIESGOS

¿CÓMO GESTIONAMOS LOS RIESGOS?

A través del siguiente procedimiento, podemos determinar el riesgo real que existe sobre los activos de
información en función de las amenazas, vulnerabilidades y controles (salvaguardas o medidas) que existan en mi
organización.

Fase 1: Definir el alcance del análisis de riesgos, es decir, dónde vamos a analizar los riesgos.
Fase 1 Pueden ser todos los servicios, departamentos y actividades o centrarse en algunos en concreto.

Fase 2: Identificar y valorar los activos de información del departamento, proceso o

Fase 2 sistema objeto del estudio.

Fase 3 Fase 3: Identificar las amenazas a las que estos están expuestos estos activos.

Fase 4: Estudio y análisis de las características de nuestros activos para

Fase 4 identificar los puntos débiles o vulnerabilidades y las salvaguardas
existentes.
Fase 5: Para cada par activo-amenaza, estimaremos la
probabilidad de que la amenaza se materialice y el impacto
Fase 5
sobre el negocio que esto produciría.

Fase 6: Una vez calculado el riesgo, debemos tratar

Fase 6 aquellos riesgos que superen un límite que
nosotros mismos hayamos establecido.

12
 1. INTRODUCCIÓN - RIESGOS

FASETENEMOS
¿Y QUÉ OPCIONES 6: TRATAR EL RIESGO
PARA TRATAR LOS RIESGOS?

Después de que se ha calculado el nivel de riesgo de los distintos activos de información

identificados en nuestra organización y sabemos la magnitud o gravedad de sus consecuencias,
se debe determinar qué actitud adoptar ante los riesgos identificados en función de su
relevancia para el negocio, pudiendo optar entre:

1. Evitar el riesgo eliminando su causa, por

ejemplo, cuando sea viable optar por no
implementar una actividad o proceso que
pudiera implicar un riesgo.
2. Adoptar medidas que mitiguen el impacto o
la probabilidad del riesgo a través de la
descripción, implementación y monitorización
de controles.
3. Compartir o transferir el riesgo con terceros a
través de seguros, contratos etc.
4. Aceptar la existencia del riesgo y
monitorizarlo.

Como es comprensible, el riesgo no se debe ignorar

13
 1. INTRODUCCIÓN - RIESGOS

FASE 6: TRATAR
¿CÓMO EL RIESGO
LOS MITIGAMOS?

Las medidas de seguridad que pueden adoptarse en la mayoría de las empresas van desde la
implementación de productos o servicios de seguridad, hasta la realización de cursos de
formación para aumentar la concienciación de los miembros de la organización en materia de
seguridad.

Recordemos: las medidas (contramedidas) en el ámbito de la Ciberseguridad hacen

referencia a políticas, procedimientos, prácticas y estructuras organizativas concebidas
para mantener los riesgos de seguridad de la información por debajo del nivel de riesgo
asumido.

Las medidas más comunes en la mayoría de empresas son:

instalar productos o contratar servicios

establecer controles de seguridad
mejorar los procedimientos
cambiar el entorno
incluir métodos de detección temprana
implantar un plan de contingencia y continuidad
realizar formación y sensibilización

14
1. INTRODUCCIÓN - RIESGOS

ACCIONES
10 MEDIDAS PARA MITIGAR
PARA MITIGAR ELCIBERSEGURIDAD
RIESGOS DE RIESGO

Actividades de
formación y Establecimiento
concienciación de políticas de
No conectar a
tus dispositivos Una de las seguridad y de
un USB de un medidas más normativas de
desconocido importantes usos de activos
corporativos
Cláusulas de
confidencialidad
No ejecutar en contratos con
programas o empleados y
ficheros de terceros
origen dudoso Se extiende incluso después
de la finalización de la
relación contractual.

Administración
adecuada de roles y
Actualización perfiles con privilegios
constante del No usar cuentas
equipo y las compartidas.
credenciales Reportes de
(contraseñas) actividades del usuario
avanzados

Gestión de permisos
Soluciones anti- de exempleados
malware y anti-
Es aconsejable
fraude Establecer
un sistema eliminar cuentas de
de usuario que no están
clasificación en uso.
de la
información
15
1. INTRODUCCIÓN - RESUMEN

RESUMEN
RESUMEN

Las amenazas se aprovechan de las vulnerabilidades

AMENAZAS Ambos aumentan los riesgos VULNERABILIDADES

Cuando un riesgo se
vuelve real, causa un
incidente
Afectan a
INCIDENTE RIESGOS los activos

En un ciberataque, se materializa el
Disminuimos los riesgos riesgo y el activo se ve comprometido

CIBERSEGURIDAD ACTIVOS

Ciberseguridad: protección de los activos frente a las amenazas y vulnerabilidades.

16
1. INTRODUCCIÓN - RESUMEN

BENEFICIOS DE AUMENTAR LA SEGURIDAD

Proteger nuestra
información.

Garantizar la disponibilidad Obtener la confianza

de nuestros servicios. de nuestros clientes.

Estar preparados para

Evitar robos
continuar con nuestra actividad
y fugas de datos.
en caso de que ocurra un
incidente.

Evitar pérdidas
Prevenir incidentes.
de reputación.

Cumplir con la
legislación.
17
2. PREVENCIÓN Y PROTECCIÓN
2. PREVENCIÓN Y PROTECCIÓN

A lo largo de este apartado veremos un resumen de las medidas de prevención que

hemos visto durante el curso, empezando por la protección del puesto de trabajo.

La protección del puesto de trabajo permite mejorar la seguridad de mi negocio

a través de medidas asequibles económicamente y de fácil implementación:

antivirus
cifrado de los datos
copias de seguridad
control de contraseñas
bloqueo del ordenador
concienciación

19
2. PREVENCIÓN Y PROTECCIÓN: COMUNICACIONES Y DISPOSITIVOS MÓVILES

Asegurar las comunicaciones utilizando:

redes privadas virtuales (VPN)

cortafuegos
haciendo bueno uso del correo electrónico
servicios de telefonía IP

Y no nos olvidemos de la seguridad en los dispositivos móviles:

bloqueo de los terminales con contraseña antivirus

bloqueo automático del terminal uso de las aplicaciones necesarias
cifrado de los datos de la memoria del actualizaciones de software
terminal no utilizar redes wifi públicas
borrado remoto desactivar por defecto las conexiones
copia de seguridad inalámbricas

20
2. PREVENCIÓN Y PROTECCIÓN: CONFIGURACIÓN WIFI

Recomendaciones para una segura configuración de redes wifi

Cambiar contraseña por defecto del router: establecer una contraseña robusta y asociarla el cifrado más
fuerte disponible en el momento.

Cambiar nombre de la red (SSID/ESSID) por defecto y ocultarlo (no se mostrará a otros dispositivos) así
evitaremos que alguien pueda intentar conectarse a la red.

Actualizar firmware del router: las actualizaciones suelen incluir mejoras de seguridad.

Desactivar WPS: un mecanismo que facilita la conexión de dispositivos a la red. Es vulnerable, y puede
facilitar la conexión de terceros a la red.

Cambiar contraseña de acceso al panel de configuración del router: las contraseñas son conocidas (se
encuentran buscando en Google el modelo y fabricante), si un atacante puede acceder a este panel, podrá
configurar el router sin restricciones.

Elige un protocolo de cifrado seguro: utilizar en todo momento el protocolo de cifrado WPA2 que
actualmente es el más seguro.

21
 2. PREVENCIÓN Y PROTECCIÓN: INGENIERÍA SOCIAL

En la unidad 5 vimos que la ingeniería social es la práctica de engañar/manipular a un

usuario para conseguir que él mismo revele información confidencial.

Para identificar este tipo de amenazas es necesario seguir estas recomendaciones:

Recuerda: ni los bancos, ni ninguna empresa con la que tenga un contrato, llamará directamente para pedir
datos confidenciales.
No instalar en los equipos programas de origen desconocido.
Al iniciar sesión en cualquier web, comprobar que la URL es correcta.

Además a la hora de comprobar si una pagina web es falsa es útil:

acceder directamente a la URL de la web y no a través de links de otras páginas
comprobar el contenido de la web y la información sobre la empresa y el servicio
verificar la legitimidad de una web comprobando su certificado digital

Y de cara a los emails:

comprobar que la dirección de los correos es legítima
desconfiar de los correos genéricos, premios, etc. y de los que solicitan información
confidencial como contraseñas
desconfiar de los enlaces que llevan a una URL distinta

22
2. PREVENCIÓN Y PROTECCIÓN: PLAN B

¿POR QUÉ NECESITO UN PLAN B?

Además de las medidas tecnológicas y la concienciación, son necesarias una serie de medidas organizativas
para reducir el nivel de riesgo.
Las empresas deben estar preparadas para prevenir, protegerse y reaccionar ante incidentes graves de
seguridad que puedan afectarles y que podrían impactar en sus negocios.
Un Plan de Continuidad de Negocio es un conjunto de tareas que permite la recuperación, tras un incidente
grave, en un plazo de tiempo determinado.

23
2. PREVENCIÓN Y PROTECCIÓN

DECÁLOGO DE SEGURIDAD EN LA EMPRESA

Usar un
antivirus
Información
personal Para ordenadores y
Actualizar
teléfonos móviles
Velar por el buen uso
de información Sistema Operativo y
sensible y personal de aplicaciones de internet
la organización y sus
empleados

Redes sociales Formar a los

Evitar contactos de origen empleados
dudoso Aumentar el nivel de
concienciación en seguridad
entre los miembros de la
organización

Conexiones sólo No abrir “spam”

en caso necesario Desechar de inmediato
Bluetooth, wifi el correo basura
y función GPS

Descargar Usar contraseñas

aplicaciones de seguras
confianza
Sólo de mercados
Copia de Con mayúsculas, números
oficiales y con el y caracteres combinados
consentimiento de
seguridad
la empresa De los archivos que
no quieras perder

24
 2. PREVENCIÓN Y PROTECCIÓN

RECUERDA…

Estas son algunas de las medidas de seguridad que se

pueden implementar para evitar las consecuencias de
ataques e incidentes de seguridad.

Identificando los activos y las amenazas que pueden afectar

al negocio, puedo también seleccionar medidas a
implementar para minimizar el riesgo de ataques o
incidentes que afecten a mi información y a los datos de mis
clientes.

ESTO REDUNDARÁ EN LA SEGURIDAD DE TU NEGOCIO Y EN

LA CONFIANZA DE TUS CLIENTES.

25
2. PREVENCIÓN Y PROTECCIÓN: CUMPLIMIENTO LOPD

Si en nuestra empresa tratamos con datos personales (de clientes, empleados,

proveedores,…), tendremos que:

• Identificar los tratamientos que realizamos y agruparlos por funcionalidades:

gestión de empleados, gestión de clientes y proveedores, etc.

• Definir los ficheros a declarar e inscribirlos. Tendremos que notificar su

existencia a la AEPD, es decir, inscribir el fichero. Un fichero es un conjunto de
datos personales en cualquier soporte, que son gestionados con una misma
finalidad.

• Identificar los tipos de datos que se tratan, y en consecuencia definir el nivel de

seguridad de los datos.

• Elaborar un documento de seguridad, de uso interno donde explicaremos qué

datos de carácter personal tratamos así como las medidas de seguridad que les
aplicamos.

• En función del nivel de seguridad del fichero, aplicar las medidas (control de
accesos, copias de seguridad, registro de incidencias, gestión de soportes,…)
que se indican en la LOPD.

Si tratas datos personales eres responsable de la seguridad de los mismos. La privacidad de tus
empleados, clientes o proveedores está en juego.

26
 2. PREVENCIÓN Y PROTECCIÓN: CUMPLIMENTO LSSI

RESPONSABILIDADES

Si tenemos página web para una actividad lucrativa debemos cumplir la LSSI:

1. Debemos incluir la siguiente información en nuestra página web:

denominación social,
NIF,
domicilio social,
correo electrónico de contacto,
y datos de inscripción registral.

2. Los códigos de conducta a los que estemos adheridos y la manera de consultarlos electrónicamente.
3. Si vendemos servicios a través de Internet, ésta debe contener los precios de los productos especificando
impuestos y gastos de envío.
4. Si nuestra página web utiliza cookies propias debemos pedir el consentimiento del usuario para poder
instalarlas en su equipo, además de informar en caso de utilizar cookies de terceros.
5. Además, si enviamos publicidad por correo electrónico, los correos deberán estar identificados
claramente como publicidad.

27
2. PREVENCIÓN Y PROTECCIÓN - RESPONSABILIDADES

ES RESPONSABILIDAD DEL EMPRESARIO…

Decidir los privilegios de acceso de los empleados.

Velar por el cumplimiento normativo dentro de su organización.
Conocer la localización de sus datos para saber cuál es la legislación aplicable.
Saber donde está localizada la información más sensible para su negocio.
Asegurarse de las condiciones establecidas en los acuerdos con los proveedores.
Y si es posible, tener los datos replicados en otra plataforma.

Recuerda, que también es tu responsabilidad revisar que las cláusulas del

contrato con el proveedor se adecúen a tus necesidad de seguridad. En
cualquier caso, serás tu el que debe hacerse responsable de las acciones
de tus empleados sobre la información almacenada en la nube o en tu
proveedor.

28
 2. PREVENCIÓN Y PROTECCIÓN: CONTRATACIÓN DE SERVICIOS

ACUERDOS DE NIVEL
DE SERVICIO
Aspectos a negociar

Seguridad Privacidad Escalabilidad Disponibilidad

En cualquier caso, todo los puntos a tratar dependerán del servicio que se contrate, aunque es
recomendable tener en cuenta lo siguiente:

Medidas de seguridad adoptadas por el proveedor para conservar nuestros datos.

Confidencialidad de los datos almacenados por el proveedor.

Calidad de servicio por parte del proveedor.

Seguridad en las transacciones de datos.

29
 2. PREVENCIÓN Y PROTECCIÓN: RELACIÓN CON PROVEEDORES Y CLIENTES

De cara a mantener una relación segura con proveedores y clientes es necesario:

Incluir en todos con los contratos con colaboradores y proveedores clausulas de confidencialidad,
1
LOPD y propiedad industrial.

2 Asegurarse que las comunicaciones son seguras (cifrado).

Establecer acuerdos de confidencialidad con proveedores y colaboradores. Deben estar

3
vigentes incluso después de finalizar el servicio.

Incluir en los contratos con proveedores acuerdos de nivel de servicio y hacer seguimiento del
4
servicio.

5 Anticipar las acciones en la finalización del contrato con proveedores y colaboradores.

30
2. PREVENCIÓN Y PROTECCIÓN: GESTIÓN DE INCIDENTES

Ventajas de prevenir incidentes

Evitar el impacto económico en tu negocio, que se mide en función del valor de los activos afectados,
considerando:

Los daños producidos en el propio activo (costes de reposición, de

reparación, etc.)
Los gastos ocasionados por el cese de la actividad interrumpida (por
ejemplo imaginemos una empresa de venta por internet y que el portal de
la empresa se quede sin disponibilidad, durante ese tiempo no se podría
vender).
Los daños ocasionados para la reputación y la marca del negocio, etc. (la
pérdida de confianza de los clientes ocasiona que estos contraten los
servicios en otros competidores).

31
2. PREVENCIÓN Y PROTECCIÓN

Metodología para la gestión de incidentes

A continuación, te expongo algunos consejos básicos que se pueden

adaptar a cualquier empresa.

1. Mantener un registro de los incidentes sufridos en tu negocio.

2. Hacer un seguimiento de las acciones realizadas y las personas que hayan
intervenido en la gestión del incidente.
3. Mantener un registro de los documentos que sirvan como evidencia de las
acciones realizadas para solucionar o cerrar el incidente de seguridad.
4. Mantener esta información como inventario de los incidentes de seguridad
sufridos por mi negocio para intentar mejorar la gestión sobre mis activos
implementando medidas que contribuyan a impedir que los incidentes de
seguridad se repitan.
3. MEDIDAS ESPECÍFICAS

33
3. MEDIDAS DE PREVENCIÓN Y PROTECCIÓN ESPECÍFICAS

Además de todas las medidas expuestas durante el curso, ¿hay alguna medida
adicional de prevención y protección para mi organización?

Si, por ejemplo:

Contratar servicios de seguridad gestionada.
Para el acceso a cloud contratar servicios de Cloud Security Access Brokers
(CASB)
Transferir el riesgo contratando seguros de ciberriesgos.
Monitorización: control del tráfico de tu propia red.
Protección de la marca a través de técnicas de cibervigilancia.

34
 3. MEDIDAS DE PREVENCIÓN Y PROTECCIÓN ESPECÍFICAS

Otras alternativas para tratar los riesgos de ciberseguridad consisten en contratar servicios o seguros para
mitigarlos o transferirlos:

La seguridad gestionada es una forma de outsourcing de

ciberseguridad. Los proveedores de estos servicios ofrecen desde
antivirus y cortafuegos hasta la monitorización avanzada de
seguridad y la gestión de incidentes. [1]

Los CASB o Cloud Access Security Brokers son intermediarios

entre clientes y proveedores de cloud que se encargan de hacer
cumplir las políticas de seguridad en cuanto al acceso a recursos
en cloud. Algunos ejemplos son políticas de autenticación, cifrado,
detección y prevención del malware, etc. [2]

Los seguros de ciberriesgos protegen a nuestra empresa en

caso de recibir un ataque, permitiéndola afrontar la perdida
producida y manejar la crisis. Este sería un ejemplo de
transferencia de riesgos, es decir, no los evitamos, sino que nos
cubrimos las espaldas por si suceden.

35
4. CONCIENCIACIÓN
4. CONCIENCIACIÓN

Recuerda que hemos visto que uno de los principales orígenes de incidentes de
ciberseguridad son los fallos y errores no intencionados.

Estos pueden ser:

errores de los usuarios, del administrador o de
configuración
deficiencias en la organización
alteración de la información
introducción de información incorrecta
degradación de la información
destrucción de información
divulgación de información

¿Y cómo podíamos evitar este tipo de incidentes?

Los usuarios internos con falta de formación son el origen de algunas

brechas de seguridad que son fácilmente evitables con la debida
concienciación en ciberseguridad. Piensa que por mucha inversión que
uno pueda hacer en tecnología, los usuarios son los que en ultimo
término manejan la información.

37
4. CONCIENCIACIÓN

Entonces, ¿una amenaza interna es un empleado que por falta

de formación o concienciación comete un error?

No, los empleados que han salido de la empresa de forma poco

amistosa o que estén descontentos con su situación laboral también
pueden realizar ataques o causar daños en el negocio de forma
intencionada.

Y por último, no siempre es culpa del empleado, sino que se producen a

causa de la inexistencia de políticas y procedimientos o bien por que
éstos no se han aplicado bien.
• Cuentas de acceso de empleados que dejan la empresas y no se
eliminan.
• Cuando no se tiene una buena gestión de los accesos a la información
sensible de nuestro negocio (financiera o datos personales de clientes,
proveedores o colaboradores).

38
4. CONCIENCIACIÓN

El empleado es la pieza clave en la ciberseguridad

Podemos implantar medidas de seguridad mas o menos complejas, pero al final el empleado es el
que trata con la información.
Podemos aplicar todo tipo de políticas y normativas, pero es el empleado el que debe aplicarlas.
El acceso a la información por parte de empleados es necesario y tanto intencionada como no
intencionadamente se pueden producir situaciones de riesgo.

Por eso es absolutamente imprescindible formar a los empleados en buenas

prácticas de ciberseguridad.

A continuación, veremos los puntos más importantes sobre los que debemos concienciar al
empleado de cualquier organización según INCIBE.

39
 4. CONCIENCIACIÓN

DECÁLOGO DEL EMPLEADO

1
PUESTO DE TRABA JO
Mantén la mesa “limpia” de papeles que contengan información sensible.
Bloquea la sesión de tu equipo cuando abandones tu puesto.

2 DISPOSITIVOS
No modifiques la configuración de tus dispositivos.
No instales aplicaciones no autorizadas.
No conectes dispositivos USB no confiables.
Establece una clave de acceso y la opción de bloqueo automático en tus dispositivos móviles.

3
USO DE EQUIPOS NO CORPORATIVOS
No manejes información corporativa en equipos públicos.
Si accedes al correo corporativo desde tu equipo personal no descargues ficheros al equipo.

4
FUGAS DE INFORMACIÓN
No facilites información sensible si no estás seguro de quien es el receptor de la misma.
Destruye la información sensible en formato papel, No la tires a la papelera.
No mantengas conversaciones confidenciales en lugares donde puedan ser oídas por terceros.

40
 4. CONCIENCIACIÓN

DECÁLOGO DEL EMPLEADO

5
GESTIÓN DE CREDENCIALES
No compartas tus credenciales de acceso (usuario y contraseña).
No utilices tus credenciales de acceso corporativas en aplicaciones de uso personal.
No apuntes tus credenciales en lugares visibles.

6 NAVEGACIÓN
Evita acceder a páginas web no confiables.
No pinches en enlaces (links) sospechosos. Procura escribir la dirección en la barra del navegador.

7
CORREO ELECTRÓNICO
Elimina todo correo sospechoso que recibas.
Evita los correos en cadena (reenvío de correos que van dirigidos a un gran número de personas).

8
PROTECCIÓN DE LA INFORMACIÓN
Realiza copias de seguridad de aquella información sensible que sólo esté alojada en tus dispositivos.

41
 4. CONCIENCIACIÓN

DECÁLOGO DEL EMPLEADO

9
VIA JE SEGURO
Procura no transportar información sensible en dispositivos extraíbles. Si lo haces, cifra la
información.
No manejes información sensible en redes WIFI no confiables.

10 ERES SEGURIDAD
Si detectas cualquier actividad sospechosa o un funcionamiento anómalo de tu equipo avisa al
departamento de seguridad.

42
5. CONCLUSIONES
CONCLUSIONES
Debido al auge de las nuevas tecnologías, cada vez es más habitual su uso en y para el
negocio. Por ello la ciberseguridad se ha convertido en una necesidad para el buen
desarrollo de las actividades profesionales.

La protección de la información irá dirigida a garantizar su CONFIDENCIALIDAD,

INTEGRIDAD y DISPONIBILIDAD. Tendremos que valorar según estos criterios la
seguridad de cada activo y así poder priorizar las medidas para su protección.

Existen distintos tipos de amenazas que pueden afectar la seguridad de la información

en cualquier negocio como la infección de equipos por malware, exploit, ataques de
denegación de servicio o los casos de phishing

En el ámbito de la ciberseguridad el riesgo se define por la ISO/IEC 27005 Gestión de

riesgos de la Seguridad de la Información como la posibilidad de que una amenaza
concreta pueda aprovechar una vulnerabilidad para causar una pérdida o daño en un
activo de información.

Existen diferentes opciones para tratar los riesgos en función de la relevancia que
tengan para el negocio: evitar el riego, adoptar medidas que mitiguen su impacto o su
probabilidad, compartirlo o transferirlo o aceptar su existencia y monitorizarlo.

Las medidas (contramedidas) en el ámbito de la ciberseguridad hacen referencia a

políticas, procedimientos, prácticas y estructuras organizativas concebidas para
mantener los riesgos de seguridad de la información por debajo del nivel de riesgo
asumido.
44
CONCLUSIONES
La protección del puesto de trabajo permite mejorar la seguridad del negocio a través
de medidas asequibles y de fácil implementación, pero también es recomendable
adoptar un conjunto de buenas prácticas para conseguir que nuestros activos estén
mejor protegidos.

La ingeniería social consiste en técnicas de engaño y es uno de los vectores de ataque

más peligrosos y que más se está utilizando para acceder a las redes de las empresas,
aprovechándose de la ingenuidad o buena disposición de los empleados no
concienciados.

Conviene tener definido un plan de continuidad que permita que la empresa sea
capaz de sobrellevar una amenaza. El plan debe incluir un procedimiento de
recuperación para reestablecer las operaciones de la compañía dentro de un tiempo
razonable y un coste asumible.

Si en la empresa de tratan datos personales (de clientes, empleados, proveedores…)

tiene que identificar los tratamientos que realizan, inscribir el fichero, definir el nivel de
seguridad de los datos, elaborar un documento de seguridad y aplicar las medidas
(control de accesos, copias de seguridad, registro de incidencias…) en función del nivel
de seguridad.

De cara a mantener una relación segura con proveedores y clientes es necesario:

incluir en los contratos las cláusulas de confidencialidad, LOPD y propiedad industrial,
cifrar las comunicaciones, establecer acuerdos de confidencialidad vigentes incluso
después de finalizar el servicio, acuerdos de nivel de servicio y anticipar las acciones en
la finalización del contrato con proveedores y colaboradores.

45
CONCLUSIONES
Existen medidas específicas de protección y prevención como: contratar servicios de
seguridad gestionada, servicios de Cloud Security Access Brokers (CASB), seguros de
ciberriesgos, control del tráfico de tu propia red y protección de la marca a través de
técnicas de cibervigilancia.

La concienciación es un elemento clave en la ciberseguridad, es necesario prestar

especial atención a: errores de los usuarios, del administrador o de configuración,
deficiencias en la organización, alteración de la información, introducción de
información incorrecta, degradación de la información, destrucción de información,
divulgación de información.

46
Referencias

[1] INCIBE - Consulta Asistida:

https://www.incibe.es/protege-tu-empresa/catalogo-de-ciberseguridad

[2] welivesecurity.com – Empresas que son CASB:

http://www.welivesecurity.com/la-es/2014/09/24/seguridad-nube-empresas-que-son-
casb/

* INCIBE – Enlaces de interés:

https://www.incibe.es/protege-tu-empresa

47
 Has completado esta unidad
¡ánimo con el cuestionario final!