Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Seguridad Informática
para Empresas
1/23
La importancia de la información: Datos personales vs. Datos empresariales
¡Te damos la bienvenida al Curso de Seguridad Informática para Empresas!
Todo lo que viaja por la red es vulnerable. Por lo tanto, la seguridad informática
empresarial es muy importante, ya que los atacantes tratarán de acceder a la información
que se encuentra bajo nuestro poder.
Los Datos Personales son información que solo te interesa a ti: fotos, redes sociales,
cuentas bancarias, facturas, información familiar, entre otras. Asegúrate de que las
personas que tienen acceso a estos datos solo sean las que tú quieres que accedan a
ellos.
Los Datos Empresariales son los datos a los que accediste desde que formas parte de la
empresa: clientes, gastos, información financiera y tributaria, métricas, estadísticas,
resultados, entre otras. Las empresas se aseguran de que no compartas estos datos con
otras personas pidiéndote que firmes un NDA (acuerdo de no divulgación).
Durante el curso, estudiaremos las estrategias que usan los atacantes para acceder a
nuestra información y cómo evitamos que eso suceda.
2/23
Rutina de seguridad diaria
Decálogo de ciberseguridad:
https://www.incibe.es
3/23
Escenarios reales de cyber ataques
Los ciberataques son un riesgo para el que todos debemos prepararnos, incluso grandes
marcas como WhatsApp y Facebook, ya que han tenido diferentes vulnerabilidades que
permitieron que diferentes atacantes accedieran a nuestros datos privados.
4/23
Triangulo CIA: Confidencialidad, Integridad y Disponibilidad
Una cadena es tan fuerte como su eslabón más débil. Entre más crece nuestra
responsabilidad, más aumenta la confidencialidad de nuestros datos y el impacto que
puede generar que los atacantes u otras personas accedan a ellos.
5/23
¿Qué es la nube?
La nube:
Este es un término que escuchamos últimamente en todo lado, pero ¿qué es? Y, ¿por
qué es tan importante en nuestra vida?
Esto sucede cuando tu información y tus datos son almacenados en discos duros de tu
propiedad. En este caso tienes acceso físico a los dispositivos de almacenamiento.
Por ejemplo, en el computador de tu casa sabes que tienes tu disco duro físico en el que
se almacenan tus datos e información, todo lo tienes físicamente al alcance de la mano.
Cloud Computing
Por ejemplo, si guardas tus fotos en Google Photos o Drive para tus archivos y
documentos es información que queda almacenada en los centros de cómputo de Google.
Google tiene servidores en Estados Unidos, Europa, China, Brasil y Japón. Pero no es
posible saber en dónde están tus fotos, lo más seguro es que estén en diferentes partes
del mundo y se nos garantiza que esta información está almacenada de forma segura.
Los proveedores de servicios de nube también tienen que asegurarnos que esa
información no solo no va a ser revisada por personas o dispositivos no autorizados, sino
que siempre que contemos con Internet vamos a poder accederla y que no se va a perder
esa información.
Asegúrate de no usar la misma contraseña para todo y de cambiar tus contraseñas cada
3 meses, esto es fundamental para proteger tu información.
6/23
Domina los conceptos y elementos básicos de computación que se usan en la
empresa y que son parte de la estrategia de protección de la información
Estos son algunos conceptos que estaremos mencionando a lo largo de este curso y de
los que es importante que tengas claro su significado.
Algunos pueden sonar muy obvios, pero no está de más tener la información.
#nuncaparesdeaprender
Computador
Es un computador diseñado para que pueda ser transportado y usado en cualquier lugar.
Tiene una batería interna que nos permite utilizarlo, aunque no tengamos acceso a un
punto de carga de energía.
La laptop tiene sus periféricos (pantalla, teclado, mouse) integrados de forma que solo
tengas que llevarla con el cargador para tener acceso a un computador completo.
El computador que generalmente encontramos en las oficinas se caracteriza por ser más
grande que un computador portátil y los periféricos no están integrados en él. Requiere
conexión a la energía 100% del tiempo para que pueda funcionar.
La CPU o Procesador
Los computadores actuales tienen más de una CPU integrada en un mismo chip. Lo
correcto es llamar a cada una de las unidades CPU y al chip completo el procesador.
Pero, en términos generales, es lo mismo.
Memoria RAM
Disco Duro
Es una evolución del disco duro en el que la información se indexa de forma diferente y
sin espacios, así que permite acceder a la información de forma muy rápida.
Un disco duro normal almacena los datos en un disco girando (parecido al disco del
tocadiscos). La información es ubicada en espacios dentro de ese disco usando
magnetismo.
En un disco duro de estado sólido no contamos con un disco que gira; por el contrario, la
información se almacena en un chip. Este tipo de discos no tienen partes móviles ni es tan
sensible al magnetismo. En ese sentido, es más seguro.
Sistema Operativo
Es el programa o conjunto de programas que manejan todos los recursos del computador.
Estos programas permiten que exista la comunicación entre el hardware y el software del
computador.
Sin el S.O. no sería posible que el computador funcionara.
“Un sistema operativo es un programa que actúa como intermediario entre el usuario (en
su sentido amplio) de un computador y el hardware del computador. El propósito de un
sistema operativo es crear un entorno en el que el usuario pueda ejecutar programas de
forma cómoda y eficiente”. (ver Silberschatz “Sistemas Operativos” quinta edición p. 3).
Servidor
Es un computador que recibe solicitudes, las procesa y envía información.
Cliente
Es un computador que hace peticiones.
Red
Es un conjunto de computadores conectados. Algunos de ellos actúan como servidores;
es decir, reciben peticiones, las procesan y responden con información. Otros, por su
parte, actúan como clientes; es decir, solicitan información a los servidores.
Con esto ya podemos hablar del modelo “Cliente-Servidor” que es básicamente cómo
funciona Internet. Una red puede ser pequeña. Para formarse solo se necesita un cliente y
un servidor. Puedes armar una red con los dispositivos de tu hogar; sin embargo, para
que esta red pueda ser llamada Internet estas mini-redes deben estar conectadas unas
con otras a nivel mundial, de forma que tengamos clientes pidiendo información a
servidores alrededor del mundo.
HTTP / HTTPS
Para que la información que se está enviando y recibiendo entre clientes y servidores
pueda ser recibida y procesada correctamente se definieron estándares. Estos son
protocolos que se usan en todo el mundo y que definen la forma en que nos
comunicamos a través de Internet.
Cuando hablamos de HTTP los archivos son enviados en texto plano, es decir que los
datos viajan tal cual son enviados por el cliente o el servidor y pueden ser fácilmente
capturados y leídos. Por esto se implementa una versión segura del protocolo que es el
que conocemos como HTTPS.
Los archivos que se envían a través del protocolo HTTPS viajan por la red cifrados de
forma que solo pueden ser abiertos y leídos por quien tenga la clave para desencriptar el
mensaje.
Los navegadores te muestran en el ícono del candado que aparece en la parte izquierda
de la barra de direcciones alguno de estos mensajes:
Para que un sitio web sea calificado como seguro; es decir, que tenga el candado al lado,
debe tener un certificado que lo garantice. No en todos los casos en los que se muestra el
candado los sitios son completamente seguro. De hecho, hay atacantes que crean sitios
web falsos y les ponen certificados. Sin embargo, recuerda que Google solo autoriza
certificados, valga la redundancia, de sitios certificados.
Certificado SSL
Arriba estuvimos hablando de los sitios web que utilizan el protocolo HTTP y HTTPS.
Mencionamos que aquellos que usan HTTPS tienen un certificado que los avala como
sitios seguros. Esto nos da tranquilidad sobre la forma en que los datos son enviados por
la red.
El certificado que se usa para este proceso se llama SSL que son las siglas para Secure
Socket Layer. Este es el protocolo que agrega la capa de seguridad y permite el cifrado
de los datos.
7/23
Ingeniería social, Phishing y Publicidad engañosa
La Ingeniería Social consiste en usar nuestras características humanas (hablar, no estar
atento, confiar, conversar) para conseguir información a la que no deberíamos dar
acceso.
La Publicidad Engañosa son todos esos anuncios que nos prometen algún premio por ser
supuestamente el usuario número X.
El Phishing consiste en enviar diferentes mensajes haciéndose pasar por una entidad
importante (Google, Facebook, bancos, policía de tránsito) o una persona necesitada para
pedirte información personal con el fin de solucionar un problema que, en realidad, no es
real.
Ten mucho cuidado con los emails que recibes de personas u organizaciones que no
conoces. Verifica que los logos y enlaces no sean una copia de los originales. No le hagas
caso a los “reyes de Nigeria o Afganistán” que te piden a tu dirección de correo “que les
ayudes a guardar una cantidad enorme de dinero porque los están persiguiendo”, aunque
los mensajes incluyan fotos de sus documentos de identidad.
Man In the Middle: cuando nos conectamos a redes públicas, así como cafeterías o
aeropuertos, corremos el riesgo de que haya atacantes que se posicionan (virtualmente)
entre los servidores a los que accedemos y nosotros. De esa forma, pueden interceptar la
información que mandamos por la red: mensajes, contraseñas, entre otras.
Troyanos: son piezas de software ocultas en código que a simple vista podemos
considerar legítimo.
Spyware: entran a nuestros dispositivos sin dejar ningún rastro cuando encuentran
alguna vulnerabilidad en nuestros sistemas operativos. Pueden espiar nuestras
conversaciones y tomar control de la cámara y/o micrófono.
Los Firewalls nos ayudan a detectar cuando un virus intenta entrar a nuestra
computadora. Más adelante los estudiaremos a fondo.
Si quieres configurar tu dispositivo para activar la autenticación de dos factores estos son
los pasos que debes seguir:
Toca Continuar.
Toca Continuar.
Ingresa el número de teléfono que quieras usar para recibir códigos de verificación
cuando inicies sesión. Puedes elegir si quieres recibir los códigos mediante un mensaje
de texto o una llamada telefónica automatizada.
Cuando tocas Siguiente, Apple envía un código de verificación al número de teléfono que
proporcionaste.
Ve al menú Apple () > Preferencias del sistema > iCloud > Datos de la cuenta.
1. Abra el firewall de Windows. Para ello, haga clic en el botón Inicio, en Panel de
control, en Seguridad y, a continuación, en Firewall de Windows.
Debido a la Ley de Protección de Datos de la Unión Europea (GDPR), todos los sitios web
deben mostrar un aviso indicándonos que usarán cookies y un link donde podamos leer
detalladamente qué datos personales almacenan y para qué serán usados.
Cookies: en todos los sitios web nuevos que ingresas te sale un aviso de aceptar cookies,
y nos indica que este sitio web está capturando información nuestra, las cookies son
pequeños textos que se envían desde nuestro navegador, se capturan en el navegador y
se envían al creador del sitio web o al que esté interesado en obtener ese tipo de
información.
Lo que hacemos al aceptar estas cookies, es dar autorización para que ellos puedan
acceder a nuestra información.
Con frecuencia se ve en la web, que entramos por ejemplo a mercado libre y tenemos un
carrito de compras con productos y se nos cierra la página por error. Lo que hacen las
cookies cuando vuelves a entrar es identificarte con los datos que ya tenían y vuelven a
poner el carrito con todos los productos que habías elegido, se parece a cuando cierras
sin guardar, pero se guardan los cambios automáticamente.
Esto fue implementado a partir de la ley de protección de datos.
13/23
Métodos de Defensa: Antivirus, Adblock, Antispam y Web Filter
Métodos de defensa
Para las personas que tienen duda en escoger en cual antivirus, revisen este
enlace; AV-TEST es una organización independiente de certificación y donde
realizan pruebas a todos los antivirus existentes y los colocan en un Rating
dependiendo la utilidad, proteccion o rendimiento.
https://www.av-test.org/es/antivirus/usuarios-finales-windows/
14/23
Métodos de defensa: Encriptación
Todos los dispositivos almacenan nuestra información, las computadoras en el disco duro
y los celulares en la tarjeta de memoria. Además, estos dispositivos también tienen la
opción de encriptar los datos para que solo podamos acceder a ella si conocemos la
contraseña o configuramos un sistema de seguridad más avanzado.
1. Vamos a la manzanita
2. System preferences
4. fileVault
7. ajustes
8. seguridad
10. opción de desbloque: facial, huella digital, patrón, contraseña, pin, etc.
Contraseña, son mas seguros, ya que contienen números y letras, el patrón es
mas débil, ya que es un dibujito que haces, por lo tanto, no es tan seguro.
En Android nos da la información de cuando se hizo la última actualización de
seguridad, se recomienda siempre tener los dispositivos actualizados, ya que
estas versiones nuevas pueden traer parches o arreglos para posibles
vulnerabilidades de los sistemas.
Cuando ciframos los dispositivos, nos solicita una clave, la cual es la única para
descifrar la información en el dispositivo, si alguien mas intenta ingresar con otra
clave, la información se puede dañar y se puede perder.
Como encriptar tu equipo Windows:
Dejo aquí los pasos para la configuración de la autenticación de dos pasos en tus cuentas
de Google y en este enlace está todo el proceso con dudas resueltas por el equipo de
Google por si quieres profundizar.
En el computador
1. Ve a tu Cuenta de Google.
Google ofrece dos opciones principales para la verificación de identidad, una es la opción
de mensajes de Google. Esta es la más recomendada porque lo que hace es que llega un
mensaje a tu pantalla y te pregunta si estás intentando acceder. Si respondes “sí”, Google
te muestra un código (generalmente un número de dos dígitos) que debes comparar con
el número que se muestra en el dispositivo desde que el que estás iniciando sesión.
2. Presiona Seguridad.
1. Ve a tu Cuenta de Google.
1. Ve a tu Cuenta de Google.
Celular Android
4. Presiona Comenzar.
Toma la primera letra de cada palabra y coloca una letra mayúscula y otra
minúscula.
Forget your passwords: es uno de los más usados y se han dedicado con mucha más
fuerza a realizar gestión de contraseñas, es muy útil y fácil de usarlo.
https://1password.com/
https://keepersecurity.com/
https://www.lastpass.com/es
19/23
Uso de VPN: Conexión segura en redes
Una VPN es un servicio que nos permite usar redes públicas de forma segura. En vez de
conectarnos directamente con los servidores que nos entregan la información, nos
conectamos a una VPN que, a su vez, se conectará al servidor y encriptará nuestra
información. De ese modo, los atacantes no podrán acceder a ella.
Así podemos “engañar” a los servicios “cambiando” nuestra ubicación por la de los
servidores de la VPN.
Recuerda que las VPN tienen acceso a nuestra información antes de encriptarla, por lo
que no podemos usar cualquiera. Busca una en la que puedas confiar.
20/23
Instalación de VPN en tu teléfono Android
Instalación de VPN en Android:
1. Play store
2. TúnelBear VPN
3. Instalar
4. Abrir aplicación
https://www.tunnelbear.com/
https://www.kaspersky.com/vpn-secure-connection
21/23
Consejos para proteger tu información en línea
En esta época, la seguridad dejó de ser un tema físico y pasó al campo digital. Hoy
vivimos más preocupados por nuestros datos personales y accesos que por nuestra
billetera. Sin embargo, la pérdida o robo de cualquiera de las dos nos deja expuestos a
muchas preguntas y problemas. Una de las primeras preguntas es: ¿Cómo habría podido
evitarlo? Esto nos lo preguntamos porque no sabemos que somos vulnerables hasta que
tenemos un documento expuesto o información confidencial divulgada por medios que no
esperábamos.
En parte esta es la razón de ser de este curso, que más allá de los expuestos que se
corrigen a nivel empresarial, busca proteger a las empresas desde las personas.
Muchas veces todo se puede solucionar usando el sentido común, y así como no
prestaría mi cepillo dental a un conocido y mucho menos a un extraño, no debo prestar
mis claves ni compartir información o documentación que por fuera de un ambiente digital
no compartiría. Si, por ejemplo, un proveedor me está pidiendo información financiera de
la empresa, debo acudir a las cartas mercantiles que se encuentran en la mayoría de los
países de nuestra región, que ya incluyen mucha información acerca de estados
financieros y que ya fue revisada por un contador y publicada para ser pública. De lo
contrario, y a menos de que no esté estipulado en un contrato, no debería compartir tal
información, así como no entrego mis extractos bancarios a mis vecinos o amigos.
Compartir archivos es algo que vamos a tener que hacer tarde o temprano. Para ello
existen muchas herramientas colaborativas que nos permiten dar accesos temporales o
incluso por medio de una contraseña. La generación de equipos de trabajo es una
necesidad imperante sobre todo cuando se está formando un startup. El uso de archivos
compartidos debe regirse por los términos de confidencialidad de información en la
empresa. En ese sentido, debemos revisar atentamente quiénes son revisores, editores o
dueños de la información que compartimos. Para esto, tenemos herramientas como
Google Drive y Box. ¡Claro! No son las únicas, por eso te recomiendo que investigues
bien sobre las distintas herramientas colaborativas y los permisos que puedes ofrecer a
través de estas. Esto también aplica para repositorios de desarrollo de código donde
opciones como Bitbucket y GitHub son esenciales a la hora de escribir código.
22/23
Mejores prácticas al hacer uso de dispositivos asignados por la empresa
Cada empresa tiene sus políticas de uso de dispositivos. Sin embargo, a continuación,
tenemos una serie de recomendaciones que podrían ser aplicadas a los diferentes tipos
de equipos electrónicos.
Portátiles:
Tener presente la seguridad física incluso dentro del espacio de trabajo usando
guayas o candados de seguridad.
Móviles:
Evitar hacer uso del dispositivo móvil como una unidad de almacenamiento
tipo pendrive, sobre todo al tener que hacerlo en dispositivos ajenos a la empresa
o de procedencia desconocida.
23/23
Cierre: ¿Qué hacer en caso de ser víctima?
¡Felicitaciones por terminar el Curso de Seguridad Informática para Empresas!
No guardes silencio cuando algún atacante logre tener acceso a información privada tuya
o de tu empresa, incluso si crees que cometiste un error.
No olvides seguir todas las buenas prácticas que aprendimos en este curso, así tu
información no estará en riesgo y será más difícil que los atacantes consigan acceso a
ella.