Taller práctico Introduccion a la seguridad

Transcripción

1 Taller práctico Introduccion a la seguridad Marco A. Lozano Merino Roberto Martínez Martínez Técnicos de seguridad de INTECO-CERT

2 Índice 1. Una mirada a la empresa en España 2. Diez consejos básicos de seguridad para la pyme 3. Aspectos legales 4. Servicios de seguridad para la pyme del CERT de INTECO y de la OSI 5. Ejemplos prácticos 20

3 Una mirada a la empresa en España Nº empresas Porcent aje (%) Sin asalariados Microempresas (1-9) Pequeñas (10-49) Medianas (50-249) PYME (0-249) Grandes (250 o más) Total ,23 39,97 4,03 0,63 99,86 0, España es un país de pymes Más del 99% de las empresas en España son PYME* *Últimos datos del INE publicados el 2 de agosto de 2011

4

5 Consejo n.º 1: Instalar, utilizar y actualizar programas antimalware Por qué? Qué hacer Y admás Además Malware en correo, páginas, descargas, P2P, etc. Propagación al resto de la red y PC`s Robo de información sensible Instalar antivirusy actualizarlo con frecuencia No conectarse a Internet sin antivirus actualizado Concienciar a los empleados Activar revisiones automáticas de ficheros y dispositivos cuando se vayan a usar, y semanalmente en todos los sistemas Coste: bajo, licencias Conocimientos: bajosmedios Dirigido a: todo usuario de dispositivos electrónicos

6 Consejo n.º 2: Vigilar los adjuntos al y las descargas Por qué? Qué hacer Además Adjuntos manipulados Enlaces a páginas maliciosas (phishing, páginas fraudulentas etc.) Coste: mínimo Conocimientos: bajos-medios Dirigido a: todo el que use dispositivos electrónicos Desconfiar de remitentes desconocidos y pedir confirmación para adjuntos de remitentes conocidos Sospechar de mensajes llamativos o alarmantes Analizar con el antivirus Descargar de sitios oficiales Verificar la dirección de de las páginas (URLs) antes de introducir contraseñas Nunca facilitar la cuenta de correo salvo para fines del negocio

7 Consejo n.º 3: Mantener actualizado el software Por qué? Qué hacer Además Los defectos en la programación de las aplicaciones hacen que los equipos sean vulnerables a ataques Los atacantes pueden conocer las vulnerabilidades para entrar en nuestros sistemas Instalar los parches y actualizaciones tan pronto como se conozcan Informarse al comprar software de cómo aplicar las actualizaciones Suscribirse a boletines sobre actualizaciones Coste: bajo Conocimientos: medio Dirigido a: personal informático

8 Consejo n.º 4: Desinstalar el software y borrar los discos de equipos en desuso y eliminar cuentas de usuarios inactivas Por qué? Qué hacer Además Opciones y servicios que vienen por defecto en los sistemas operativos Software extra (juegos, reproductores, etc.) Equipos que se desechan, venden, etc. Corregir las configuraciones por defecto Eliminar cuentas inactivas y de exempleados Borrado seguro de los equipos desechados Utilizar cuentas de usuario limitadas Coste: mínimo Conocimientos: bajomedio Dirigido a: personal informático

9 Consejo n.º 5: Establecer controles físicos de acceso al equipamiento informático Por qué? Qué hacer Además Personal ajeno puede destruir equipos o manipular información Familiares, visitas, pueden generar incidentes accidentalmente Si hay tomas de datos en salas públicas cualquiera puede conetar su portátil Asegurar las salas y proteger los servidores Establecer políticas de uso (bloquear pantalla, uso fuera de la oficina, etc.) Acompañar a las visitas Coste: mínimo Conocimientos: bajomedio Dirigido a: todo usuario de dispositivos electrónicos Cerrar con llave las salas que tengan tomas de datos cuando no se usen. Incluir clausulas de responsabilidad en los contratos de mantenimiento, limpieza Anclar los equipos portátiles

10 Consejo n.º 6: Implementar Seguridad en la Red con control de acceso Por qué? Qué hacer Además Evitar que otros accedan a nuestro ordenador y puedan manipular nuestros datos tanto desde la red interna como desde la externa Instalar y configurar un cortafuegos. Usar redes privadas para conexiones remotas Limitar las funciones del acceso remoto Revisar los registros de las conexiones Usar conexiones cifradas Coste: moderado-alto Conocimientos: medioalto Dirigido a: soporte informático y usuarios

11 Consejo n.º 7: Limitar el acceso a los datos confidenciales y sensibles (datos personales, transacciones bancarias, ) Por qué? Qué hacer: Y además Solo usuarios autorizados deben tener acceso a los datos La legislación obliga a proteger los datos personales de terceros Concienciar a los empleados sobre el uso de datos confidenciales Establecer y mantener Listas de Control de Acceso Solicitar asistencia técnica para cifrar datos sensibles o confidenciales Coste: moderado-alto Conocimientos: medioalto Dirigido a: soporte informático

12 Consejo n.º 8: Asegurar su red Wi-Fi Por qué? Qué hacer: Y además Para que nadie se aproveche de nuestros recursos Para evitar que capturen nuestra información Proteger la Red mediante WPA/WPA2 Apagar el punto de acceso fuera del horario Cambiar la contraseña por defecto Desactivar la visibilidad del nombre de la WiFi. Auditar de forma regular los accesos a la Wi-Fi Coste: Bajo- Moderado Conocimientos: medio-alto Dirigido a: soporte informático

13 Consejo n.º 9: Utilizar contraseñas robustas y cambiarlas con frecuencia Por qué? Qué hacer: Y además Proteger los equipos y los datos Usar contraseñas robustas, difíciles de averiguar pero fáciles de recordar Cambiarlas frecuentemente No emplear una única contraseña Establecer políticas que obliguen a cambiarlas Ejemplo de riesgo: acceso de ex-empleados descontentos, robo de información confidencial, destrucción Coste: mínimo Conocimientos: bajosmedios Dirigido a: todo el que use dispositivos electrónicos

14 Consejo n.º 10: Realizar copias de seguridad de ficheros, carpetas y del software importante Por qué? Qué hacer: Y además Permite continuar con la actividad de su negocio en caso de desastre Los seguros no suelen cubrir Coste: moderadoelevado Conocimientos: medio-alto Dirigido a: soporte informático y usuarios Hacer copias de seguridad periódicas Conservar las copias en lugar seguro y durante el tiempo suficiente Revisar periódicamente que se pueden restaurar las copias realizadas Solicite ayuda técnica especializada para automatizar el proceso Revisar las pólizas de seguros para incluir clausulas de protección

15 Aspectos legales

16 Aspectos legales LOPD De obligado cumplimiento LSSI Necesaria si se realizan operaciones comerciales Otras regulaciones Factura electrónica Firma electrónica Etc.

17 Servicios de seguridad para la pyme del CERT de INTECO y de la OSI

18 Servicios de INTECO-CERT Servicios de información Servicios de protección Servicios de formación Servicios de respuesta y soporte FORMACIÓN ON-LINE

19 Servicios de INTECO-CERT Toda la información en: Portal WEB de INTECO-CERT: Buzón de contacto: Buzón de incidentes: Buzón de fraude electrónico: Buzón de asesoría legal: Buzón de jornadas: INTECO-CERT tiene vocación de servicio público sin ánimo de lucro y ofrece sus servicios de forma totalmente gratuita

20 Servicios de la OSI

21 Servicios de la OSI Toda la información en: Portal WEB de la Oficina de Seguridad del Internauta: Buzón de consultas: Soporte por Chat: Teléfono: La OSI tiene vocación de servicio público sin ánimo de lucro y ofrece sus servicios de forma totalmente gratuita