Guia de seguridad de las tecnologias de la...

59
Guia de seguridad de las tecnologias de la informacion para PYMES

Transcript of Guia de seguridad de las tecnologias de la...

Page 1: Guia de seguridad de las tecnologias de la informacionrieger.es/files/Guia_seguridad_informatica_pymes.pdf · seguridad de la tecnología de la información (en adelante seguridad

Guia de seguridad de las tecnologias de la

informacion

para PYMES

Page 2: Guia de seguridad de las tecnologias de la informacionrieger.es/files/Guia_seguridad_informatica_pymes.pdf · seguridad de la tecnología de la información (en adelante seguridad

Esta guía tiene como objetivo ayudarte a comprender los pasos concretos que puedes seguir para mejorar la seguridad informática en tu empresa.

¿Que entendemos exactamente por seguridad informática? La seguridad informática, la ciberseguridad o, lo que es lo mismo, la seguridad de la tecnología de la información (en adelante seguridad TI), es un conjunto de estrategias y políticas destinadas a proteger el entorno de las TI de una organización, incluidos los dispositivos, el software y los datos electrónicos, del acceso no autorizado o del daño a sus activos. El propósito de la seguridad TI es el de mantener la integridad y la confidencialidad de la información sensible de tu empresa y prevenir la interrupción de los servicios que presta.

Es cierto que la seguridad TI puede ser muy técnica y costosa, pero no siempre tiene que serlo necesariamente. Muchos de los pasos que proponemos en esta guía son bastante simples y no requieren de un presupuesto abultado. De hecho, muchos de los pasos importantes que puedes tomar para reducir el riesgo de una violación de tus datos, son gratuitos.

Introducción

Como usar esta guíaLee esta guía para entender los pasos básicos que debes dar para a mejorar la seguridad informática de tu empresa

Hemos tratado de hacer esta guía lo mas práctica posible, proporcionándote pasos concretos, determinando quien debe de estar a cargo de que procesos y añadiendo al final de cada capitulo una lista de las mejores practicas, fácil de seguir. Por ello, no necesitas leer esta guía de principio a fin. Cada capitulo se ha escrito aparte, independientemente de los demás, aun cuando existan referencias a capítulos anteriores.

Ten en cuenta que esta guía no es exhaustiva, ni cubrirá todas las necesidades de cada empresa. Sin embargo, te mostraremos las mejores prácticas, procesos y herramientas básicas de seguridad de las TI, que cualquier empresa debe aplicar.

1

Page 3: Guia de seguridad de las tecnologias de la informacionrieger.es/files/Guia_seguridad_informatica_pymes.pdf · seguridad de la tecnología de la información (en adelante seguridad

¿A quien va dirigida esta guia?Dado que esta guía contiene consejos de seguridad de las TI que pueden ser usados por cualquiera, puede ayudarte si:

1

2

Tu negocio usa ordenadores uotros dispositivos conectados a internet y maneja datos confidenciales.

3

5

No eres un experto en seguridad informática, pero tienes conocimientos básicos de tecnología y de algunas herramientas de las TI. Por ejemplo, sabes lo que es una VPN y para qué se utiliza.

4 Buscas mejorar tu seguridad TI perono estas seguro de como hacerlo y además quieres determinar lo que puedes cambiar internamente antes de contratar a un consultor de seguridad de las TI.

Tu empresa no tiene su propia red interna pero consideras establecerla en un futuro próximo.

2

Eres el que toma las decisiones sobre seguridad informática en una pyme

Page 4: Guia de seguridad de las tecnologias de la informacionrieger.es/files/Guia_seguridad_informatica_pymes.pdf · seguridad de la tecnología de la información (en adelante seguridad

3

Como está organizada esta guíaCada capitulo de esta guía cubre una subsección especifica de la seguridad informática. Todos los capítulos, excepto el 5, terminan con una lista de comprobación (listado de las mejores practicas) que puede ser usada por la audiencia elegida para asegurarse que está siguiendo la mejor praxis de seguridad informática.

Capitulo 1

Prepara el marco de referencia

de tu seguridad informáticaEste capítulo te presenta los conceptos básicos, definiendo el significado de la seguridad informática y qué debes hacer para empezar el proceso de asegurar los datos de tu empresa. Termina con una lista de verificación para ti,

como principal tomador de decisiones de tu pyme.

Capitulo 2

Crea una cultura de seguridad

informáticaTus empleados crearan o destruirán la seguridad informática de tu empresa. Este capitulo trata de las mejores practicas en las que tienes que entrenar a tus empleados para usar en el día a día. Finaliza con un listado de buenas practicas que puede ser consultado por ellos para asegurarse que no están comprometiendo los datos sensibles de tu empresa.

Page 5: Guia de seguridad de las tecnologias de la informacionrieger.es/files/Guia_seguridad_informatica_pymes.pdf · seguridad de la tecnología de la información (en adelante seguridad

Capitulo 3

Asegura el correo

electrónicoEl correo electrónico es el método mas común utilizado por los piratas para obtener información confidencial o introducir malware en un dispositivo o en una red. Este capitulo explica los pasos que han de seguir tus empleados para evitar ser victimas de emails maliciosos. Termina con un listado de las mejores practicas a seguir por tus empleados para saber lo que hacer cuando reciban un correo no esperado.

Capitulo 4

Protege tu redLa seguridad de una red consiste en asegurar que nadie no autorizado pueda acceder o manipular tus dispositivos o datos. Este es un capitulo bastante técnico, destinado principalmente a las empresas en crecimiento que piensan en crear su propia red interna. Termina con un listado de buenas practicas para el responsable de seguridad de las TI, explicando los pasos básicos que han de tomarse para mantener la seguridad en una pyme y algunos pasos avanzados para establecer y mantener una red interna segura.

Capitulo 5

Adopta las mejores

soluciones en seguridadEste capitulo es una lista de todo tipo de herramientas, programas, aplicaciones y servicios que pueden usar las pymes para mejorar la seguridad de las TI.

4

Page 6: Guia de seguridad de las tecnologias de la informacionrieger.es/files/Guia_seguridad_informatica_pymes.pdf · seguridad de la tecnología de la información (en adelante seguridad

- Designación de un responsable de seguridad de las TI

- Crear un modelo de amenaza de las TI

- Formular políticas empresariales de seguridad de las TI

- Listado de verificación del marco de seguridad de las TI para el responsable de la empresa

La seguridad TI puede llegar a ser un trabajo muy ingrato. Es difícil, requiere vigilancia constante y cuando se hace correctamente, suele ser INVISIBLE. Generalmente, las personas solo pensamos en ella despues de un incidente de seguridad, como un hackeo, una violacion de seguridad o una fuga de datos. Entonces suele ser demasiado tarde.

Muchos responsables de pymes entienden teóricamente la importancia de la seguridad TI, pero perciben que su empresa es tan pequeña, que nunca serán objetivo de un ataque. Esto es un grave error. Incluso si la mayor parte de los ataques informáticos que aparecen en las noticias afectan a grandes compañías, las estadísticas demuestran que la mayoría de las victimas de los mismos, son pymes.

CAPITULO 1:

Prepara tu marco de

referencia de seguridad de las TILEE ESTE CAPITULO para ver que pasos has de tomar para empezar el proceso de mejora de la seguridad de las TI de tu empresa, incluyendo:

5

Page 7: Guia de seguridad de las tecnologias de la informacionrieger.es/files/Guia_seguridad_informatica_pymes.pdf · seguridad de la tecnología de la información (en adelante seguridad

Prepare your IT securityframework

6

Page 8: Guia de seguridad de las tecnologias de la informacionrieger.es/files/Guia_seguridad_informatica_pymes.pdf · seguridad de la tecnología de la información (en adelante seguridad

17

Como responsable en la toma de decisiones de tu empresa, tu decides el nivel. Si priorizas la seguridad TI, así lo harán tus empleados. Debes de tener en cuenta la seguridad TI en TODAS las decisiones que tomes, desde la contratación del personal al diseño de tu oficina. Para mostrar que la seguridad TI es para ti una prioridad, debes tratarla como harías con cualquier otra área de tu negocio; asígnale un responsable. Una vez que lo tengas, necesitas trabajar estrechamente junto a el para evaluar cuidadosamente la sensibilidad de la información en tu empresa y las vulnerabilidades potenciales de vuestra seguridad informática. Una vez completada esta evaluación, debes crear políticas que describan como asegurar la información sensible y como actuar ante un ataque. Tener confeccionadas estas políticas permitirá que las acciones de respuesta sean mas eficaces, sobre todo en una crisis.

Designar un responsa-ble de seguridad TI

La seguridad de las TI requiere una dilighencia constante, como el seguimiento de los empleados para asegurar el cumplimiento de las practicas recomendadas en cuestion de seguridad informática. Probablemente sea esta una tarea que querrás delegar en un responsable de seguridad TI. Dependiendo del tamaño de tu empresa, podria ser un mienbro del departamento informático, si tienes uno, aunque no necesariamente. Inicialmente, su experiencia tecnológica importará menos que su voluntad para aprender sobre seguridad informática y cuidarse de que el equipo complete el entrenamiento y siga los protocolos.

Es importante mencionar que a medida que tu negocio crezca, también lo hará el tiempo a dedicar a la seguridad y la experiencia requerida del responsable de seguridad TI. Eventualmente, esta labor requerirá de un asalariado a tiempo completo. El responsable de seguridad TI deberá estar a cargo de estas 5 responsabilidades:

Entrenar y actualizar a los

empleados en seguridad TI El primer paso es el entrenamiento. Este debería tener lugar poco después de que se incorpore un nuevo empleado; también hay que actualizar sus conocimientos periódicamente. La capacitación debe enfatizar los aspectos más importantes de la política de seguridad TI y una comprensión cabal de las amenazas especificas que han sido identificadas por el equipo de gestión. Si hay amenazas conocidas dirigidas a empresas similares a la tuya a través de vectores de ataque particulares, las sesiones de entrenamiento representan la oportunidad ideal para entrenar al equipo a prevenir tales ataques.

Algunos equipos o empleados pueden ser más vulnerables a los ataques que otros, en base a su especialidad o nivel de acceso. Los administradores de red, los directivos o cualquier empleado que maneje nominas o datos de clientes, necesitaran entrenamiento y atención adicional.

El responsable de seguridad TI deberá asimismo consultar regularmente las informaciones y los blogs técnicos. Nuevas vulnerabilidades y vectores de ataque son descubiertos a diario. Ha de informar inmediatamente a los empleados de cualquier noticia o ataque relevante, o de los servicios comprometidos

Page 9: Guia de seguridad de las tecnologias de la informacionrieger.es/files/Guia_seguridad_informatica_pymes.pdf · seguridad de la tecnología de la información (en adelante seguridad

8

Suministrar a los empleados

las herramientas adecuadasLa seguridad TI requiere usar herramientas y programas específicos, dependiendo de las tareas encomendadas y del modelo de amenaza. Para abordar situaciones particulares se requieren herramientas específicas. Por ejemplo, los empleados que trabajen regularmente de forma remota, deben utilizar un servicio VPN de confianza para proteger su actividad online. Describimos las herramientas necesarias para asegurar los dispositivos personales en el capítulo 2, el correo electrónico empresarial en el capítulo 3, y la red corporativa en el capítulo 4, pero es responsabilidad del jefe de seguridad TI garantizar que los empleados tengan

acceso a las herramientas adecuadas.

Evaluar el conocimiento de los empleados en seguridad TILa seguridad de las TI nunca termina; aún queda trabajo por hacer, incluso después de que los empleados hayan recibido capacitación y se les proporcionado dado las herramientas adecuadas. El responsable de tu seguridad informática debe evaluar regularmente a sus empleados sobre la implementación de la seguridad de TI y la lista de prácticas de seguridad del correo electrónico. (Ver capítulos 2 y 3). Por ejemplo, enviando periódicamente un test a los empleados para evaluar su capacidad para identificar correctamente correos electrónicos potenciales de phishing (vea el capítulo 3), o tener una vez al mes un chat personal con cada empleado para

preguntarle qué tal ha implementado el listado de

prácticas recomendables.

para conocer qué tal ha implementado el listado de prácticas recomendables.

Mantener la seguridad de la

redEsta es la parte de las tareas del responsable de seguridad TI que experimentará un crecimiento dramático a medida que la empresa haga lo propio. Una vez instales tus propios servidores privados y crees una red interna, el mantenimiento de la seguridad de la red se llevará gran parte del tiempo del responsable de seguridad TI. Consulta el capítulo 4 para ver el listado de las prácticas básicas y avanzadas del responsable TI.

Revisión de los problemas de seguridad y desarrollo de las políticas de las TI pertinentes Cada vez que tu empresa está tome una decisión importante de seguridad TI, su responsable será el que lidere la discusión. Esto incluye evaluar a los diferentes proveedores y emitir opiniones documentadas sobre futuras políticas tecnológicas.

En el caso de una emergencia, como una violación de datos o acceso no autorizado a un dispositivo de la empresa, el responsable de seguridad TI debe hacerse cargo de implementar la política de seguridad adecuada.

Una vez que nombres al responsable de seguridad de TI, puedes dar el siguiente paso.

Page 10: Guia de seguridad de las tecnologias de la informacionrieger.es/files/Guia_seguridad_informatica_pymes.pdf · seguridad de la tecnología de la información (en adelante seguridad

9

Datos críticos, como los personales de los empleados, las tarjetas de crédito de clientes, datos comerciales confidenciales, dinero, etc. Enumera los activos valiosos que guarda tu empresa, dónde y cómo están almacenados, y quién tiene acceso a ellos.

Errores humanos, comunicaciones inseguras, redes con escasa seguridad, proveedores de servicios no encriptados, etc.

Activos

Hackers, empleados descontentos, competidores, cibercriminales, gobiernos, etc. Has de ser lo más extenso e imaginativo posible. Luego ya clasificarás estas amenazas cuando evalúes los riesgos.

Amenazas

Vulnerabilidades potenciales

¿Qué equipos son más susceptibles a las amenazas? ¿Qué activos son más valiosos? Este análisis te ayudará a decidir dónde enfocar la mayor cantidad de energía.

Riesgos

2Crea un modelo de amenazasUn modelo de amenazas es un método para identificar y evaluar los riesgos de seguridad y privacidad que afronta la empresa, y así poder mitigarlos. Es el primer paso que se debe dar para determinar las prioridades de seguridad TI.

Al crear el modelo de amenazas, debes consultar al responsable de seguridad TI y a los directivos de tecnología de tu empresa. Al crear un modelo de amenazas básico, debes considerar cómo se aplican los siguientes tres factores en la empresa:

Entrenamiento sobre la concienciación de seguridad TI, cifrado de extremo a extremo, controles de acceso, minimización de datos, etc. En función de la información que hayas compilado con anterioridad, puedes determinar la manera de mitigar el riesgo.

Al final del modelo de amenaza, debes saber qué datos son más confidenciales, en qué parte de tu red o negocio debes concentrar más la protección y qué empleados serán críticos para esta labor.

Contramedidas

Las experiencias pasadas, el conocimiento de tus propios sistemas y la investigación sobre violaciones de seguridad, te pueden ayudar. En este punto, probablemente sea útil crear un diagrama de flujo de datos. Estos diagramas te permiten visualizar con mayor claridad el proceso que utiliza tu equipo para recopilar y procesar datos. También te permite ver en qué sistemas y empleados confías los datos. Una vez que comprendas por completo cómo se mueven los datos a través de tu empresa y quién controla esos datos, estarás listo para considerar los siguientes dos factores:

Page 11: Guia de seguridad de las tecnologias de la informacionrieger.es/files/Guia_seguridad_informatica_pymes.pdf · seguridad de la tecnología de la información (en adelante seguridad

10

3Política de seguri-dad TI de empresa

Ahora que has identificado qué datos son más valiosos y a qué amenazas se enfrentan, estás listo para crear tus políticas de seguridad TI. Una vez más, esto debes hacerlo con las aportaciones del responsable de seguridad TI y de cualquier otro empleado senior de tecnología de tu empresa.

Algunos de tus empleados pueden quejarse de que las medidas de seguridad TI agregan pasos adicionales a procesos que eran simples. Si bien este no es siempre el caso, es innegable que, ocasionalmente, una mayor seguridad puede conducir a una limitación de la comodidad. Tu política debe intentar maximizar las ganancias en seguridad TI mientras minimiza los inconvenientes.

Cada vez que se incorpora un empleado, debe recibir una copia de la política de seguridad TI, y los responsables de la seguridad TI deben consultar regularmente este documento y emitir periódicamente recordatorios de su contenido. No es solo otro documento repetitivo de RR. HH. Comprender la política de seguridad TI y seguirla, es parte del trabajo de todo empleado.

Política de seguridad TILa política de seguridad TI de tu empresa debe incluir pautas básicas que todos los empleados han de seguir, así como principios más amplios que defiendan la seguridad informática de la empresa. Las listas de mejores prácticas al final de los capítulos 2, 3 y 4 son buenos ejemplos de pautas básicas que tu empresa puede utilizar como plantilla inicial de su política de seguridad TI.

En cuanto a los principios básicos, estos variarán dependiendo de tu sector, pero los siguientes tres se aplicarán a la mayoría de las empresas.

Recaba solo los datos que

necesitesCuanta más información recopiles, más datos deberás proteger. Si los datos no son absolutamente necesarios para vuestro servicio o producto, es mejor que no los recopiléis al principio. Si gestionas un sitio web, ¿realmente necesitas los números de teléfono de los interesados para su cuenta? Probablemente no.

Solo guarda los datos durante el tiempo imprescindibleA menudo hay leyes que requieren que los datos se eliminen una vez que se completa una transacción. Similar al primer principio, cuanto más tiempo conserves los datos que ya no son necesarios para tu gestión, más datos tendrás que proteger. Si bien deberás configurar un proceso para eliminar de forma segura los datos innecesarios, esta sigue siendo mejor opción de seguridad que conservar esos registros de forma indefinida.

Page 12: Guia de seguridad de las tecnologias de la informacionrieger.es/files/Guia_seguridad_informatica_pymes.pdf · seguridad de la tecnología de la información (en adelante seguridad

11

Aplica la seguridad también a los datos impresosEsta guía se enfoca en mantener el control de la seguridad de tu compañía sobre los dispositivos, redes y datos electrónicos, pero es importante recordar que muchas empresas tienen gran cantidad de datos disponibles en papel. Estos archivos también deben considerarse como

parte de tus políticas de seguridad.

Política de violación de datosEn un mundo ideal, no necesitarías una política de seguridad TI. Pero si alguna vez te enfrentas a una violación de datos, te sentirás aliviado de haber establecido los pasos que has de seguir. Esta política no necesita ser compartida con todos los empleados; solo los miembros del equipo de seguridad TI y la alta dirección deben ser conscientes de ella.

Asegura los datos Una vez que detectes una violación de datos, tu prioridad debe ser encontrar la causa y eliminarla. Deberás detener la fuga de datos actual y evitar cualquier pérdida adicional de los mismos. Una vez que se haya contenido la intrusión, debes tratar de comprender quién fue el responsable y cómo se produjo la misma (para este tipo de análisis técnico, es probable que necesites contratar ayuda externa). Además, intenta rastrear adónde fueron a parar los datos. Si los ves expuestos en otro sitio web, debes escribir para que los eliminen. Finalmente, entrevista a las personas que encontraron la violación y documenta cada paso dado para resolver el problema. Estos documentos ayudarán al servicio al cliente a responder preguntas y serán

y serán muy útiles en el futuro al evaluar los riesgos y fallas de seguridad.

Repara las vulnerabilidadesUna vez que se ha detenido la violación de datos, debes establecer medidas de seguridad adicionales para evitar futuros fallos. Este paso no puede realizarse hasta que hayas localizado la causa de la violación. Si la violación involucró un servicio proporcionado por un tercero oun proveedor, debes considerar seriamente cuáles son tus otras opciones de cara al futuro.

Notifica a las autoridades y a los afectadosFinalmente, debes preparar una declaración que describa lo que ha sucedido, tan pronto como se conozca el alcance total de la violación. Debes comunicarte con todas las partes afectadas, incluidos tus clientes, tus empleados, tus inversores, socios comerciales y otros interesados. La declaración no debe contener información engañosa ni retener ningún detalle pertinente.

En muchas jurisdicciones, hay obligaciones legales de alertar a las empresas o clientes directamente afectados. Debes comunicarte con las autoridades pertinentes y ofrecer tu plena cooperación para resolver el problema.

Page 13: Guia de seguridad de las tecnologias de la informacionrieger.es/files/Guia_seguridad_informatica_pymes.pdf · seguridad de la tecnología de la información (en adelante seguridad

Lista de verificación del marco de seguridad TI del propietario de la empresa

Las mejores prácticas de seguridad Verificación*

Designación de un responsable de seguridad TI

Creación de un modelo de amenaza

Formular una política de seguridad TI

Formular política de respuesta ante una violación de seguridad TI

Entrenamiento de los empleados

Ejecución regular de programas de concienciación de seguridad TI

12

*Marcar si completado

Page 14: Guia de seguridad de las tecnologias de la informacionrieger.es/files/Guia_seguridad_informatica_pymes.pdf · seguridad de la tecnología de la información (en adelante seguridad

- Portátiles y ordenadores- Smartphones- Contraseñas- USB- Lista de las mejores prácticas deseguridad TI para empleados

La seguridad TI de las pequeñas empresas se pasa a menudo por alto, ya sea por falta de experiencia o financiación. Esto es un error. Las violaciones de datos son costosas de prevenir, pero mucho más costosas de resolver después de que ocurran. Pero no todas las violaciones de datos son el resultado de un ataque malicioso por parte de un hacker. Estadísticamente hablando, hay alguien que representa un riesgo aún mayor para tus datos que un hacker: tus empleados.

Al menos hasta que los robots se hagan cargo, tu negocio dependerá y empleará a otros seres humanos. Ellos pueden ser tu mejor defensa contra los ciberataques, o tu vulnerabilidad más significativa. Formar a tu personal en prácticas básicas de seguridad TI es un buen comienzo, pero no es suficiente. Debes enfatizar la importancia de la seguridad TI y convertirla en parte de la cultura de la empresa, para que los empleados no piensen en ella como una tarea ocasional, sino que forme parte de su rutina diaria.

Capitulo 2

Crear una cultura de seguridad informáticaLEE ESTE CAPÍTULO para identificar las mejores prácticas de seguridad TI para:

13

Este capítulo te ayudara a identificar los pasos necesarios que todos tus empleados deben implementar.

Page 15: Guia de seguridad de las tecnologias de la informacionrieger.es/files/Guia_seguridad_informatica_pymes.pdf · seguridad de la tecnología de la información (en adelante seguridad

14

Page 16: Guia de seguridad de las tecnologias de la informacionrieger.es/files/Guia_seguridad_informatica_pymes.pdf · seguridad de la tecnología de la información (en adelante seguridad

15

Seguridad TI:ni imposible ni

impracticableCuando las personas escuchan las palabras "seguridad de las Tecnologías de la Información (TI)", a menudo se quedan desorientados: asumen que es un tema técnico incomprensible y, por lo tanto, demasiado complicado para entenderlo. Mientras que explicar cómo funciona la encriptación en el protocolo TLS es muy complicado, tal nivel de conocimiento no es necesario en la seguridad TI que nos concierne. Tu puedes mejorar mucho la seguridad TI, facilitando cambios en los comportamientos, relativamente simples. Las medidas que establezcas dependerán del modelo de amenazas

(consulta el capítulo 1) que hayas desarrollado. Lo importante es que esta elección de seguridad TI se realice después de un proceso deliberativo en el que se sopesen los riesgos y las ventajas. Si bien los siguientes pasos representan las mejores prácticas básicas, no todos ellos serán apropiados para cada negocio. Con esta advertencia previa, vayamos a las medidas que debes tomar para proteger los datos de tu empresa.

El responsable de

seguridad TIComo parte de la elaboración de tu política de seguridad TI, has designado un responsable de seguridad TI (consulta el capítulo 1) para entrenar a tus empleados en las mejores prácticas de seguridad TI y garantizar que esas prácticas se implementen regularmente. El responsable de seguridad TI también debe estar preparado para responder cualquier pregunta que los empleados puedan

hacer sobre cómo proteger sus dispositivos o los datos con los que trabajan.

Es responsabilidad de esta persona (con tu apoyo, por supuesto) cultivar una cultura de seguridad TI en su empresa. Para crear una cultura de conciencia de seguridad TI y mantener las mejores prácticas en la mente de sus empleados, el responsable de seguridad TI

deberá evaluar su rendimiento regularmente.

Portatiles y ordenadoresSi tu empresa trabaja con datos, lo más probable es que tus empleados trabajen en ordenadores que les suministras o usen sus propios portátiles. En cualquier caso, cerciorarse que estos dispositivos son seguros es vital para la seguridad integral de tu red (consulta el capítulo 4).

Mantén el sistema operativo y también el software siempre actualizados Todos los días se descubren nuevos fallos de seguridad en el software, que las empresas corrigen en las actualizaciones que lanzan. Sin embargo, si no instalas las actualizaciones, el dispositivo no estará protegido contra estas amenazas conocidas, lo que lo convierte en un objetivo tentador. La mejor solución es configurar tu dispositivo para que se actualice automáticamente.

Windows

Para dispositivos Windows: Windows 10 es el sistema operativo más seguro que ha desarrollado Microsoft. En Windows 10, todas las actualizaciones se realizan automáticamente. Presiona la tecla de Windows + C y seleccione Configuración. Una vez que se abre la ventana Configuración, selecciona Actualización y seguridad.

Page 17: Guia de seguridad de las tecnologias de la informacionrieger.es/files/Guia_seguridad_informatica_pymes.pdf · seguridad de la tecnología de la información (en adelante seguridad

16

Esto te llevará automáticamente a la página de actualización de Windows. Aquí, puedes ver si tienes alguna actualización pendiente. Al hacer clic en Cambiar las horas activas, puedes establecer los horarios en los que el dispositivo intentará actualizarse.

Para dispositivos macOS: En macOS 10.6 y posteriores, ve al menú Apple y haz clic en Preferencias del sistema. Una vez que se abra la ventana de Preferencias del sistema, haz clic en Actualización de software. Una vez que se abre la ventana Actualización de software, haz clic en el cuadro junto a Descargar actualizaciones importantes automáticamente (para usuarios de Mac OS 10.7, esto descargará actualizaciones automáticamente). En el menú desplegable Buscar actualizaciones: puedes elegir la frecuencia con la que deseas buscar actualizaciones. Te recomendamos que elijas todos los días.

Habilita un firewall local

para bloquear conexiones de

red entrantesEl cortafuegos examina el tráfico de tu red (consulta el capítulo 4) o de Internet, determina cual es un tráfico fiable y lo deja pasar mientras bloquea el resto. Habilitar el firewall en tu dispositivo evita que los intrusos no autorizados accedan a tus dispositivos.

Para dispositivos Windows: en Windows 10 y versiones posteriores, presiona la tecla Windows + C y selecciona Configuración. Una vez que se abre la ventana Configuración, selecciona Actualización y seguridad.

Esto te llevará automáticamente a la ventana de actualización de Windows. Haz clic en Seguridad de Windows. Una vez que se abre la ventana Seguridad de Windows, haz clic en Abrir el Centro de seguridad de Windows Defender. Una nueva ventana se abrirá. Haz clic en Firewall y protección de red. Aquí puedes ver si los firewalls para tu dominio, red privada y red pública están activados.

Para dispositivos macOS: En macOS 10.6 y posteriores, ve al menú Apple y haz clic en Preferencias del sistema. Una vez que se abra la ventana de Preferencias del sistema, haz clic en Seguridad y privacidad. Una vez que se abra la ventana Seguridad y privacidad, haga clic en la pestaña Firewall. Luego, haz clic en el icono de candado en la esquina inferior izquierda de la ventana. Deberás ingresar la contraseña de administrador. Haz clic en

Activar firewall.

Habilita cifrado de disco completoEsto aplica el cifrado a todo tu disco duro, protegiendo el acceso a todos tus archivos, imágenes, software y programas, en caso de robo o pérdida del dispositivo.

Para dispositivos Windows: algunos dispositivos Windows cifran automáticamente tu disco duro, otros no, lo que complica las cosas. Para verificar Windows 10 y versiones posteriores, presione la tecla Windows + C y seleccione Configuración. Una vez que se abre la ventana Configuración, selecciona Sistema. Una vez que se abre la ventana Sistema, seleccione la pestaña Acerca de. En la ventana Acerca de, desplázate hasta la parte inferior.

Windows

Apple

Apple

Windows

Page 18: Guia de seguridad de las tecnologias de la informacionrieger.es/files/Guia_seguridad_informatica_pymes.pdf · seguridad de la tecnología de la información (en adelante seguridad

17

Para dispositivos macOS: En macOS 10.6 y posteriores, ve al menú Apple y haz clic en Preferencias del sistema. Una vez que se abra la ventana de Preferencias del sistema, haz clic en Seguridad y privacidad. Una vez que se abra la ventana Seguridad y privacidad, haz clic en la pestaña FileVault. Luego, haz clic en el icono de candado en la esquina inferior izquierda de la ventana. Deberás introducir tu contraseña de administrador. Haz clic en Activar FileVault. La siguiente pantalla mostrará la clave de recuperación del disco. Si olvidas tu contraseña, esta es la ÚNICA forma de recuperar los datos en el disco cifrado. Escribe esta cadena de 24 caracteres y guárdala en un lugar seguro. Haz clic en Continuar. La siguiente pantalla te preguntará si deseas almacenar tu clave de recuperación con Apple. Por razones de seguridad, te recomendamos que selecciones el botón etiquetado “No almacene la clave de recuperación con Apple” y haz clic en Continuar. Luego se te pedirá que reinicies el dispositivo para habilitar FileVault y comenzar a cifrar el disco. Haz clic en Reiniciar. Una vez que vuelvas a iniciar sesión, tu dispositivo cifrará el disco en segundo plano.

Cuantos menos programas tenga instalados un dispositivo, menos oportunidades hay para que algo salga mal. Los ordenadores de tu trabajo deben mantenerse ligeros, solo con las aplicaciones necesarias para el trabajo y las tareas cotidianas. Todos los programas deberían haberse descargado o adquirido de

fuentes fiables.

Desinstala el software que

no usesUn inciso a la anterior buena práctica. Si hay un programa en tu dispositivo que nunca usas, desinstálalo. Un programa menos que necesitas mantener actualizado.

Mantén apagado el Bluetooth hasta que tengas que usarloBluetooth te permite vincular tu ordenador a dispositivos cercanos. Esto es extremadamente útil si estás tratando de compartir archivos del ordenador con alguien. Sin embargo, estas redes también permiten a los intrusos acceder fácilmente a tu dispositivo. Por esta razón, siempre deben estar apagados a menos que los estés utilizando activamente.

No compartas el acceso a tu dispositivoEsto es seguridad elemental, pero NADIE debería poder acceder a tu dispositivo. Si necesitas compartir tu dispositivo con alguien, debe ser una persona de confianza e, idealmente, bajo tu supervisión. Después de que ya no necesites su ayuda, debes cambiar tu contraseña de inicio de sesión.

Si tu dispositivo habilita el cifrado de disco completo, verás una opción para desactivarlo. Si no la ves, deberás descargar VeraCrypt, que cifrará la partición del sistema de tu PC con Windows 10 de forma gratuita.

Apple

Instala solo el software que necesites y solo de fuentes fiables

Page 19: Guia de seguridad de las tecnologias de la informacionrieger.es/files/Guia_seguridad_informatica_pymes.pdf · seguridad de la tecnología de la información (en adelante seguridad

18

Cuídate de la curiosidad "por encima del hombro"Penetrar las defensas de un ordenador no es necesario si estás reflejando información confidencial en tu pantalla. Si estás manejando datos confidenciales, vigila tu entorno y a los posibles curiosos “mirando por encima de tu hombro”.

Bloquea tu dispositivo cada vez que te alejes de elTodos los pasos anteriormente mencionados no servirán de nada si dejas tu dispositivo desbloqueado y sin supervisión. Un dispositivo desbloqueado es una invitación para cualquier intruso para espiar los datos de tu dispositivo, así como a tu red. Incluso si solo estás tomando un café, bloquea tu ordenador.

Utiliza una VPN en una red WIFI desconocidaSi trabajas desde tu casa o mientras viajas, debes utilizar un servicio VPN (Red Virtual Privada) de confianza para cifrar tu conexión a Internet. Las redes WiFi desconocidas y los puntos de acceso públicos presentan todo tipo de vulnerabilidades de seguridad que se pueden evitar con una VPN.

Utiliza software antivirus y configura análisis

periodicosEl software antivirus te ayudará a identificar y eliminar cualquier malware que llegue a tu sistema. Es una parte esencial para mantener tu dispositivo limpio y libre de programas maliciosos. Windows 10 viene con software antivirus ya instalado, llamado Windows Defender.

Para acceder, presiona la tecla de Windows + C y selecciona Configuración. Una vez que se abre la ventana Configuración, selecciona Actualización y seguridad. Esto te llevará automáticamente a la página de actualización de Windows. Haz clic en Seguridad de Windows. Una vez que se abre la ventana Seguridad de Windows, haz clic en Abrir el Centro de seguridad de Windows Defender. Una nueva ventana se abrirá. Haz clic en Protección contra virus y amenazas. Aquí puedes ejecutar un análisis del sistema o ajustar la configuración de Windows Defender.

Utiliza Acrobat Reader en modo de vista protegida

para acceder a archivos PDFOcultar malware en archivos adjuntos PDF se está convirtiendo en una de las formas más comunes en que los piratas informáticos envían malware a un sistema. Por lo tanto, debes tener cuidado cada vez que abras un archivo PDF. Acrobat Reader tiene habilitado su modo de vista protegida de forma predeterminada. Cuando se abre un archivo PDF en vista protegida, todas las operaciones que Acrobat Reader necesita ejecutar para mostrar el PDF se ejecutan de manera restringida dentro de un entorno confinado. De esa manera, si hay un programa malicioso oculto en el archivo, está

contenido y no puede infectar tu dispositivo.

SmartphonesA medida que más y más empresas se manejan de forma remota, nuestros teléfonos inteligentes se integran cada vez más en nuestro trabajo y, por lo tanto, en nuestra ciberseguridad. Si bien es fácil no darle importancia a los teléfonos móviles, a menudo tienen el mismo acceso a datos confidenciales y redes corporativas que los ordenadores corporativos.

Page 20: Guia de seguridad de las tecnologias de la informacionrieger.es/files/Guia_seguridad_informatica_pymes.pdf · seguridad de la tecnología de la información (en adelante seguridad

Mantén el sistema operativo y las aplicaciones de tu móvil actualizadosAl igual que tu ordenador, los fabricantes de software para teléfonos inteligentes encuentran continuamente fallos y presentan las soluciones en forma de actualizaciones. Si una aplicación o tu sistema operativo no se han actualizado recientemente, tu dispositivo podría ser vulnerable a los exploits.

Habilita el cifrado

completo del dispositivoDado que llevamos nuestros móviles a todas partes, es mucho más probable que se pierda o que nos lo roben, que un ordenador. Ahora que los teléfonos inteligentes tienen más capacidad de almacenamiento que algunos ordenadores antiguos, podrían dejar expuestos una cantidad significativa de datos. Cifrar tu dispositivo protegerá la información en el mismo, a menos que esté desbloqueado.

Android

Para cifrar tu dispositivo Android, toca Configuración y luego Seguridad (recuerda, la redacción en cada dispositivo Android puede ser ligeramente diferente). Aquí verás la opción de cifrar tu teléfono. (NOTA: el proceso de encriptación puede tardar más de una hora, y tu teléfono debe estar enchufado). Una vez que tu teléfono ha sido encriptado, deberás ingresar el PIN o frase de contraseña para descifrar los datos cada vez que reinicies el teléfono.

Apple

Los últimos iPhones (cualquiera después del 3GS) y todos los iPads cifran automáticamente los datos del dispositivo, pero debes establecer un código de acceso. Para dispositivos con iOS 9 o posterior (recuerda mantener actualizado tu sistema operativo) Toca Configuración y luego Touch ID y contraseña. Luego se te pedirá que crees un código de acceso de seis dígitos. Una vez que hayas creado la contraseña, desplázate hasta la parte inferior de la pantalla Touch ID y contraseña. Deberías ver un mensaje que dice "La protección de datos está habilitada". Esto significa que el cifrado de tu dispositivo está vinculado a tu contraseña y solo la contraseña puede desbloquear los datos en el teléfono.

Establece un código PIN

seguro o una contraseñaA pesar de los muchos avances en la tecnología de verificación de identidad, los PIN y las contraseñas siguen siendo tu opción más segura. Los métodos biométricos, como los escáneres de huellas dactilares o faciales, no siempre están protegidos por la ley, lo que significa que cualquier agente de la ley podría obligarte a desbloquear tu teléfono. Las personas rara vez hacen que su patrón de bloqueo sea lo suficientemente complejo como para que sea seguro, y es más fácil para alguien descubrir tu patrón mirando por encima del hombro. Los SO Android te permiten crear contraseñas (o frases de contraseña, más sobre esto a continuación) de hasta 16 caracteres, y los iPhones y iPads te permiten crear contraseñas alfanuméricas, combinando letras, números y símbolos. Los expertos sugieren usar un código de acceso de al menos ocho caracteres, y esos caracteres deben ser una combinación de números, letras mayúsculas y minúsculas.

19

Page 21: Guia de seguridad de las tecnologias de la informacionrieger.es/files/Guia_seguridad_informatica_pymes.pdf · seguridad de la tecnología de la información (en adelante seguridad

20

Limita la información accesible desde la pantalla de bloqueoCiertas aplicaciones envían actualizaciones que puedes leer sin tener que desbloquear el teléfono. Lo mismo ocurre con los mensajes de texto. Esto significa que tu contraseña no protege esa información. Si tu dispositivo es robado o se pierde, un intruso podrá leer los mensajes de texto que recibas incluso si no puede acceder al resto de los datos de tu teléfono.

Para ajustar la configuración de notificaciones en tu dispositivo Android, toque Configuración y luego Notificaciones. Luego, tocando cada aplicación, puedes decidir qué información mostrarán mientras el dispositivo está bloqueado.

telefónicas para restablecer la contraseña.

No compartas el acceso a tu dispositivo con cualquieraCada vez que compartes tu dispositivo con alguien más, estás aumentando las probabilidades de comprometer tu dispositivo o de compartir las credenciales de inicio de sesión. Si necesitas compartir tu dispositivo, hazlo solo con alguien de confianza y, además, supervisalo. Una vez que hayas terminado de compartir tu dispositivo, debes cambiar la contraseña.

.

Android

Apple

Page 22: Guia de seguridad de las tecnologias de la informacionrieger.es/files/Guia_seguridad_informatica_pymes.pdf · seguridad de la tecnología de la información (en adelante seguridad

21

Mantén el Bluetooth y el NFC apagados a menos que sea imprescindibleLas comunicaciones mediante Bluetooth y NFC (near field communications) permiten que tus dispositivos se vinculen y compartan información con otros dispositivos cercanos. Esto es extremadamente útil si estás intentando compartir archivos de tu teléfono con alguien. Sin embargo, estas redes también permiten a los intrusos acceder fácilmente a tu dispositivo. Por esta razón, siempre deben estar apagados a menos que los estés utilizando activamente.

ContraseñasLas contraseñas son las llaves de acceso a una cuenta. Son una forma gratuita, simple y efectiva para que tus empleados eviten el acceso no autorizado a sus dispositivos o cuentas, siempre que usen contraseñas seguras y únicas.

Usa contraseñas únicas y fuertes (al menos 16 caracteres) para cada

cuentaUna contraseña segura es aquella que es poco probable que sea descifrada o adivinada, lo que significa que elementos como tu fecha de cumpleaños, tu dirección o la palabra "contraseña" deben descartarse de inmediato. Para ser lo suficientemente fuerte como para evitar ser craqueada por un software apropiado, una contraseña debe tener al menos 16 caracteres. Una alternativa al uso de una contraseña es usar una frase de contraseña. Estas se recuerdan mas facilmente. Recomendamos utilizar una frase de contraseña de al menos cuatro palabras oscuras con números y caracteres mezclados. Una frase de contraseña como "llama9craken!Unolima" es

extremadamente dificil de craquear para cualquier software porque contiene una gran cantidad de entropía. Pero es más fácil para un humano recordarla porque son solo cuatro palabras ("llama", "craken", "Uno" y "lima") con dos caracteres adicionales, cuya ubicación se puede memorizar. Al igual que no usas la misma llave para cada cerradura, no debes usar la misma contraseña para cada cuenta. Si usas contraseñas únicas para cada cuenta, incluso si una contraseña está descifrada, el resto permanecerán seguras. Para finalizar, las contraseñas nunca deben escribirse en entornos abiertos, donde cualquiera pueda acceder a ellas.

Utiliza un administrador de contraseñasSi bien las frases de contraseña te ayudarán a que tus contraseñas sean más fáciles de recordar, eventualmente tendrás demasiadas cuentas para recordar una contraseña segura y única para cada una. En este punto, debes comenzar a usar un administrador de contraseñas. Un administrador de contraseñas almacena de forma segura y rellena automáticamente todas las contraseñas de tus cuentas y, por lo tanto, también podría protegerte de ataques de phishing. Incluso pueden ayudarte a crear contraseñas seguras para nuevas cuentas. Para acceder a estas contraseñas, escribe una sola contraseña maestra. De esta manera, en lugar de recordar docenas de contraseñas, recuerda una y tu administrador de contraseñas recordará el resto.

Usa autentificación de dos pasos siempre que sea

posibleLa autentificación de dos pasos agrega una verificación de identidad adicional al procedimiento de inicio de sesión estándar. En lugar de escribir simplemente tu nombre de usuario y contraseña para iniciar sesión,

Page 23: Guia de seguridad de las tecnologias de la informacionrieger.es/files/Guia_seguridad_informatica_pymes.pdf · seguridad de la tecnología de la información (en adelante seguridad

22

la autentificación de dos pasos requiere que proporciones otro tipo de credencial (un segundo factor) antes de que puedas acceder a tu cuenta.

Los tipos seguros de autentificación de dos pasos utilizan una contraseña de un solo uso, basada en el tiempo, que es generada por una aplicación cero trust (no confiar en nadie), como Authy, DuoMobile o Google Authenticator, o un dispositivo físico, como Yubikey.

Almacena tus códigos de autentificación en dos pasos lugar seguroCada vez que configuras la autentificación en dos pasos en una cuenta, esa cuenta te proporcionará un conjunto de códigos de un solo uso que puedes usar para iniciar sesión en tu servicio en caso de que, por cualquier razón, no puedas ingresar correctamente la segunda verificación. Estos códigos deben almacenarse en un lugar seguro y de fácil acceso para que tengas una copia de seguridad y puedas abrir tus cuentas incluso si has

perdido el teléfono o el llavero de Yubikey.

Periféricos USBLas unidades flash USB son una forma practica de almacenar y compartir datos, pero deben usarse con precaución. Debido a que es imposible saber qué hay en ellos sin conectarlos, eso los convierte en vehículos ideales para introducir malware en los dispositivos.

No utilices dispositivos ni conexiones USB desconocidas De la misma forma que no te meterías una sustancia desconocida en la boca, nunca debes conectar una unidad USB desconocida a tu ordenador. Si lo haces, es como permitir que un intruso supere tu firewall y obtenga acceso directo a tu dispositivo.

Si encuentras una unidad USB, entrégasela a un miembro de tu equipo TI o a un experto informático para que puedan escanearla.

Esta misma precaución debes usarla también para los enchufes USB. Si no sabes quién está a cargo de ejecutar una toma USB pública, como las que ves en las estaciones de carga, no debes conectar tu dispositivo a ella. Estos enchufes también pueden acceder directamente a tu dispositivo.

Estas buenas prácticas te protegerán solo si las implementas el 100% del tiempo. Esto requiere concienciación y que crees una cultura de seguridad

de las TI.

Lo más importante es que

la creación de una

conciencia de seguridad de

las TI en el trabajo

requiere su aceptación por

parte de los empleados en

todos los niveles. Si la

dirección no ve la

seguridad de las TI como

una prioridad, los

empleados tampoco lo

harán.

Page 24: Guia de seguridad de las tecnologias de la informacionrieger.es/files/Guia_seguridad_informatica_pymes.pdf · seguridad de la tecnología de la información (en adelante seguridad

23

Mejores prácticas de seguridad de las TI para empleadosEsta lista debes compartirla con tus empleados para que siempre tengan una guía fácil que enumere los pasos que pueden seguir para mejorar su seguridad TI.

Area Mejores prácticas

Portatiles

Manten actualizados el sistema operativo y los programas

Habilita un firewall local para bloquear las conexiones de red entrantes

Habilita el cifrado de disco completo

Instala solo el software que necesites y solo de fuentes fiables

Desinstala el software que no uses

Manten apagado el Bluetooth a menos que lo estés usando

No compartas el acceso a tu dispositivo

Ten en cuenta la observación "por encima del hombro"

Bloquea tu portátil cada vez que lo pierdas de vista

Usa una VPN en cualquier red WiFi desconocida

Solo WindowsUsa software antivirus y configura escaneos periódicos

Usa Acrobat Reader en el modo Vista protegida para acceder a los archivos PDF

Móviles

Manten el sistema operativo y las aplicaciones de tu teléfono móvil actualizados

Habilita el cifrado completo del dispositivo

Establece un código PIN o frase de contraseña seguros

Limita la información accesible desde la pantalla de bloqueo

Desactiva tu correo de voz a menos que sea absolutamente necesario

No compartas el acceso a tu dispositivo con nadie

Manten Bluetooth y NFC apagados hasta que sea necesario

Contraseñas

Utiliza contraseñas únicas y seguras (al menos 16 caracteres) para cada cuenta

Utiliza un administrador de contraseñas

Usa autentificación de dos pasos (2FA) siempre que sea posible

Almacena tus códigos 2FA en un lugar seguro

USB NO uses dispositivos o conexiones USB desconocidas

Page 25: Guia de seguridad de las tecnologias de la informacionrieger.es/files/Guia_seguridad_informatica_pymes.pdf · seguridad de la tecnología de la información (en adelante seguridad

24

- Ataques de phishing- Impostores que falsean tu correo electrónico- Lista de buenas prácticas de seguridad delcorreo electrónico

La seguridad del correo electrónico es vital para la seguridad general de las TI de tu empresa porque es el vector de ataque más común. Los correos electrónicos de phishing y el fraude son dos ataques que no requieren ninguna habilidad técnica, simplemente una comprensión de la naturaleza humana, un don para el engaño y una dirección de correo electrónico. Engañar a una persona para que haga clic en un enlace malicioso es una forma mucho más fácil de penetrar en una red que

tratar de piratear el firewall.

El phishing y el fraude se están convirtiendo cada vez mas en problemas generalizados. Una reciente encuesta de amenazas de la firma de seguridad cibernética Proofpoint declaró que entre 2017 y 2018, los ataques mediante correo electrónico a las empresas aumentaron un 476 por ciento. El FBI informó que este tipo de ataques le cuesta a las compañías de

todo el mundo 12 mil millones de $ anuales.

Al igual que la seguridad TI en general, la seguridad del correo electrónico se basa en capacitar a tus empleados para implementar las mejores prácticas de seguridad y reconocer posibles intentos de phishing.

Capítulo 3

Refuerza la seguridad del correo electrónicoLEE ESTE CAPÍTULO para comprender las mejores prácticas de seguridad del correo electrónico con respecto a:

Esto debe estar profundamente arraigado en cada miembro de la plantilla para que cada vez que revisen sus correos electrónicos, estén alertas ante la posibilidad de acciones maliciosas.

Page 26: Guia de seguridad de las tecnologias de la informacionrieger.es/files/Guia_seguridad_informatica_pymes.pdf · seguridad de la tecnología de la información (en adelante seguridad

25

Page 27: Guia de seguridad de las tecnologias de la informacionrieger.es/files/Guia_seguridad_informatica_pymes.pdf · seguridad de la tecnología de la información (en adelante seguridad

26

PhishingEl Phishing o la suplantación de identidad es, con mucho, el tipo de amenaza de seguridad TI más común que arrostrará tu empresa. Requiere de alguien que se hace pasar por un cliente, institución o colega legítimo, para engañar a tus empleados y que compartan datos confidenciales, como detalles financieros y contraseñas comerciales, o haga clic en un enlace malicioso que comprometerá los dispositivo.

El phishing toma muchas formas diferentes. Recientemente, se informó que Google y Facebook fueron estafadas por más de 120 millones de $ por alguien que envió contratos falsificados y facturas solicitando el pago. O, en lo que probablemente sea el ejemplo más infame de phishing, se engañó al gerente de la campaña presidencial de Hillary Clinton para que hiciera clic en un enlace malicioso e ingresara su contraseña de Google. Esto expuso toda su bandeja de entrada de Gmail. El phishing también puede incluir mensajes de texto y mensajes instantáneos, pero dada la ubicuidad del correo electrónico, es, con mucho, el medio más común.

Como prevenir el Phishing

EntrenamientoCapacitar a tus empleados sobre cómo reconocer los correos electrónicos de phishing y qué hacer cuando encontramos, es el primero y más importante paso para mantener la seguridad del correo electrónico. Este entrenamiento debe ser continuo porque los ataques de phishing siempre están evolucionando.

Crea un procedimiento Tu empresa recibirá correos electrónicos de phishing. Inevitablemente, algún empleado caerá en la trampa. Si esto sucede, tu empresa necesita contar con un procedimiento que todos conozcan y comprendan. Un empleado debe saber con quién hablar si cree que acaba de caer en el engaño. Si actuas con rapidez, puedes mitigar el daño de un ataque de phishing.

Limita la información publicaLos atacantes no pueden dirigir sus ataques a tus empleados si no conocen sus direcciones de correo electrónico. No publiques detalles de contacto no esenciales en tu sitio web ni en ningún directorio público, incluidos números de teléfono o direcciones físicas. Toda esta información puede ayudar a los atacantes a diseñar un ataque.

Revisa cuidadosamente los correos electrónicosEn primer lugar, tus empleados deben desconfiar cada vez que reciban un correo electrónico de un remitente desconocido. En segundo lugar, la mayoría de los correos electrónicos de phishing están plagados de errores tipográficos, sintaxis extraña o lenguaje complejo. Finalmente, verifica la dirección "De" para ver si es extraña (por ejemplo, [email protected]). Si un correo electrónico parece sospechoso, los empleados deben denunciarlo inmediatamente.

Page 28: Guia de seguridad de las tecnologias de la informacionrieger.es/files/Guia_seguridad_informatica_pymes.pdf · seguridad de la tecnología de la información (en adelante seguridad

Cuidado con los enlaces y archivos adjuntosNo hagas clic en enlaces ni descargues archivos adjuntos sin verificar primero la fuente y sin establecer la legitimidad del enlace o archivo adjunto. Los archivos adjuntos son especialmente peligrosos porque pueden contener malware, como ransomware o spyware, que pueden comprometer los dispositivo o la red.

No descargues automáticamente contenido remotoEl contenido remoto en correos electrónicos, como las fotos, puede ejecutar scripts en tu ordenador que no esperabas, y los buenos hackers pueden ocultar código malicioso en ellos. Debes configurar tu proveedor de servicios de correo electrónico para que no descargue automáticamente contenido remoto. Esto te permitirá verificar que un correo electrónico sea legítimo antes de ejecutar

cualquier script desconocido que contenga.

Nunca compartas información sensible sin estar seguro de quien esta al otro ladoNinguna organización debería NUNCA solicitar tu contraseña por correo electrónico. Si un correo electrónico te solicita que envíes tu contraseña, número de tarjeta de crédito u otra información altamente confidencial en un correo electrónico, esto debería ser una bandera roja de alerta.

Pasa el raton sobre los hipervínculosNunca hagas clic en un texto con hipervínculo sin pasar el cursor sobre el enlace primero para verificar la URL de destino, que debe aparecer en la esquina inferior de la ventana. A veces, el hacker puede disfrazar un enlace malicioso como una URL corta. Puedes recuperar la URL original consultando la web https://www.checkshorturl.com/.

En caso de duda, investigaA menudo, los correos electrónicos de phishing intentarán crear una falsa sensación de urgencia al decir que algo requiere una acción inmediata. Sin embargo, si tus empleados no están seguros de si un correo electrónico es genuino, no deben tener miedo a tomarse un tiempo extra para verificar el correo electrónico. Esto podría incluir preguntarle a un colega, al responsable dew TI de seguridad de TI, buscar el sitio web del servicio del que supuestamente proviene el correo electrónico o, si tienen un número de teléfono, llamar a la institución, colega o cliente que envió el correo electrónico.

Toma medidas preventivasEl uso de un servicio de correo electrónico cifrado de extremo a extremo brinda a los correos electrónicos de tu empresa una capa adicional de protección en caso de violación de seguridad. Un filtro de correo no deseado eliminará los numerosos correos electrónicos aleatorios que puedas recibir, lo que dificultará la transmisión de un ataque de phishing. Finalmente, otras herramientas, como la autentificación de mensajes, informes y conformidad (DMARC) basados en el dominio, te ayudan a asegurarte de que el correo electrónico provenga de la persona de quien dice que proviene, lo que facilita la identificación de posibles ataques de phishing.

27

Page 29: Guia de seguridad de las tecnologias de la informacionrieger.es/files/Guia_seguridad_informatica_pymes.pdf · seguridad de la tecnología de la información (en adelante seguridad

28

Que hacer si tu empresa es victima del phishing

Sigue los procedimientos establecidos en la empresaTu empresa debe tener un proceso establecido para los empleados que piensan que pueden haber sido engañados por un correo electrónico de phishing. El primer paso debe ser informar del correo electrónico de phishing y cualquier información que se haya compartido, con el responsable de seguridad TI de tu organización.

Limita el dañoUna vez que tu organización comprende cómo ha sido el intento de phishing y qué información ha estado expuesta, el responsable de seguridad TI debería cambiar de inmediato las contraseñas comprometidas. También puede ser necesario desconectar el dispositivo de ese empleado de la red para evitar la propagación de malware.

Alertar a otrosEl responsable de seguridad TI también debe advertir al resto de los empleados de que ha habido un intento de phishing exitoso y decirles exactamente de qué tienen que estar pendientes. Una vez que un phisher engaña a un empleado en una organización, a menudo se dirigen a otros para aconsolidar su acceso. También debes informar a la empresa o persona cuya identidad se ha suplantado, que está siendo utilizada en un esquema de phishing.

Notifica a los clientes si es necesarioSi los datos expuestos afectan a tus clientes, asegúrate de notificarselo a las partes afectadas, ya que podrían estar en riesgo de ser robada su identidad.

Notifica a las autoridadesLas empresas deben informar de los ataques de suplantación de identidad a la Policía Nacional o Guardia Civil y al Centro Criptológico

Nacional (https://www.ccn-cert.cni.es/).

Cuando los impostores suplantan tu correo electrónicoEsto es cuando un atacante configura un correo electrónico que es idéntico a la dirección de correo electrónico de tu empresa y envía ataques de phishing que parecen originarse en tu empresa. Esto degrada la confianza que tus proveedores y clientes tienen en la empresa.

Page 30: Guia de seguridad de las tecnologias de la informacionrieger.es/files/Guia_seguridad_informatica_pymes.pdf · seguridad de la tecnología de la información (en adelante seguridad

Manten actualizados tus apps y programasUn hacker también podría acceder a tus correos electrónicos a través de una red comprometida. Manten siempre actualizados los parches de seguridad y actualiza continuamente tus aplicaciones y programas para estar utilizando siempre la última versión. Idealmente, debes configurarlos para que se actualicen

automáticamente.

Que hacer si tu correo ha sido suplantado

Avisa a tus clientesSi descubres que los piratas informáticos están falsificando el correo electrónico de tu empresa y usándolo para ataques de phishing, debes informar a tus clientes lo antes posible: por correo, correo electrónico o redes sociales. Debes informar a tus clientes cómo son tus correos electrónicos legítimos, qué tipo de información solicitará y no solicitará tu empresa, y cualquier otra información que puedan usar para detectar correos electrónicos de phishing.

Notifica a las autoridadesPolicía Nacional o Guardia Civil y Centro Criptológico Nacional (https://www.ccn-cert.cni.es/).

29

Como prevenir la suplantación de tu correo electrónico

Usa la autentificación de correo electrónicoEste tipo de tecnología permite que un servidor receptor verifique que un correo electrónico que has enviado, proviene en realidad de tu empresa. Esto hace que sea mucho más difícil para los estafadores hacerse pasar por organizaciones. La autentificación, informes y conformidad de mensajes basados en dominios, o DMARC, es una de las principales formas de detectar correos electrónicos falsificados. DMARC también se puede configurar para que reciba alertas cada vez que alguien recibe un correo electrónico que parece ser una suplantación de tu dominio. Nosotros recomendamos desde esta guía

www.protonmail.com

ProtonMail también tiene características de seguridad avanzadas, como registros de autentificación, contactos cifrados y verificación de direcciones. Los registros de autentificación te permiten controlar si alguien más ha iniciado sesión en tu cuenta. Si detecta otro usuario en tu cuenta o una sesión activa en un dispositivo que no controla, puede cerrar sesión de forma remota. Los mensajes enviados entre las cuentas de ProtonMail solo son vulnerables si un pirata informático compromete al usuario final o realiza un elaborado ataque de intermediario. Los contactos cifrados y la verificación de direcciones dificultan mucho más el éxito de este tipo de ataques. Estas funciones avanzadas dificultan el acceso, la manipulación o la suplantación de identidad de tus correos electrónicos sin tu conocimiento.

Page 31: Guia de seguridad de las tecnologias de la informacionrieger.es/files/Guia_seguridad_informatica_pymes.pdf · seguridad de la tecnología de la información (en adelante seguridad

30

Las mejores practicas para los empleados respecto al correo electronicoEsta lista debes compartirla con tus empleados para que siempre tengan una guía fácil y una lista que enumere los pasos que pueden seguir para mantener la seguridad del correo electrónico.

Mejores prácticas de seguridad

Saber como identificar emails de phishing

Ten en cuenta los peligros de los archivos adjuntos de correo electrónico

Inspecciona los enlaces antes de hacer clic en ellos

Desabilita la carga de contenido remoto

Piensa cuidadosamente antes de elegir "Responder a todos"

Si tienes dudas sobre un correo electrónico, investiga más a fondo

Si aún tienes dudas, informa de los emails sospechosos al responsable de seguridad TI

Si caes en una estafa de phishing, INFORMA INMEDIATAMENTE

Page 32: Guia de seguridad de las tecnologias de la informacionrieger.es/files/Guia_seguridad_informatica_pymes.pdf · seguridad de la tecnología de la información (en adelante seguridad

31

- Conceptos básicos de seguridad de red- Crear una red interna segura- Mantenimiento de la seguridad del usuario- Auditoría de registros- Seguridad de red avanzada- Copias de seguridad de los datos- Lista de buenas prácticas deladministrador de seguridad TI

La seguridad de una red suena complicada, pero en esencia, es bastante sencilla. De manera similar a cómo cierras tu oficina, debes bloquear tu red para mantener tus datos seguros. Debes poder prevenir y saber reaccionar ante un acceso no autorizado de tu red. Esto requiere tener soluciones tecnológicas, documentación, procesos y un administrador de seguridad de las TI, para controlar el flujo de información en el sistema de la empresa. Si bien este responsable de seguridad TI debería ser capaz de manejar los aspectos más técnicos de la administración de la red, su trabajo es imposible a menos que el personal implemente regularmente las buenas prácticas de seguridad de las TI (consulta el Capítulo 3).

Capítulo 4

Protege tu redLEE ESTE CAPÍTULO para identificar las mejores prácticas de seguridad TI de las que tu responsable de seguridad TI debería estar a cargo, incluyendo:

Tu red abarca todos tus dispositivos, incluidos ordenadores, portátiles, estaciones de trabajo, servidores, tablets o teléfonos móviles y todas sus conexiones, ya sea entre sí a través de una red de área local, o a través de Internet. Esto puede ser tan simple como dos ordenadores portátiles que comparten documentos en la nube o tan complejo como las compañías que tienen sus propias redes internas que se ejecutan en servidores privados. Este capítulo ofrece un resumen básico de las responsabilidades de tu responsable de seguridad TI (consulta el capítulo 1) y qué deben hacer para mantener la seguridad de tu red.

Page 33: Guia de seguridad de las tecnologias de la informacionrieger.es/files/Guia_seguridad_informatica_pymes.pdf · seguridad de la tecnología de la información (en adelante seguridad

32

Fundamentos de seguridad TI para

su responsable Así como cada empresa maneja datos diferentes, tambien cada una se enfrenta a amenazas únicas. Las precauciones que tendrían sentido para una pueden no ser necesarias para otra. Por ejemplo, la mayoría de las pequeñas empresas que no están enfocadas en la tecnología de la información no necesitan preocuparse por una red interna o un firewall o una gestión SIEM. En cambio, deberíandirigirse a tomar pasos simples que puedanreducir significativamente la vulnerabilidadde su negocio.

Entrena a tus empleados en seguridad TIEl paso más crítico es capacitar a tu personal y cultivar una cultura de concienciación de seguridad de las TI. (Ver capítulo 3)

Recuerda a los empleados los ataques de phishing e informa de las nuevas amenazasLas amenazas de seguridad de las TI están en constante evolución. Los hackers están continuamente explotando nuevos errores y creando nuevos tipos de ataques de ingeniería social. Mantén a tus empleados y colegas actualizados, enviando una breve actualización por correo electrónico sobre las amenazas más recientes y populares. Estas actualizaciones les ayudarán a reconocer cualquier intento de piratería o phishing que puedan encontrarse.

Realiza una breve evaluación sobre el compromiso de los empleados con las listas de buenas prácticas de seguridad de las TISin comprobaciones y recordatorios regulares, incluso los empleados más conscientes pueden olvidarse de las buenas prácticas de seguridad de las TI. Realiza una prueba simple o celebra una reunión breve para asegurarte de que tus empleados y colegas cumplen con las mejores prácticas de seguridad de las TI. Estas evaluaciones o reuniones también son un excelente momento para abordar cualquier duda sobre la seguridad de las TI que puedan tener

tus empleados o colegas.

Crea una base de datos de dispositivos aprobadosPero incluso antes de que comience la formación, tu responsable de seguridad TI debe crear una base de datos que integre todos los dispositivos que se conectan a la red de tu empresa o tienen acceso a sus datos. Cada uno de estos dispositivos es un punto débil potencial. Tu administrador de seguridad TI debe asegurarse de que todos los dispositivos conectados a la red, incluidos los teléfonos inteligentes, estén usando un firewall y cifrado de disco completo.

Page 34: Guia de seguridad de las tecnologias de la informacionrieger.es/files/Guia_seguridad_informatica_pymes.pdf · seguridad de la tecnología de la información (en adelante seguridad

Establece niveles de permisos para empleados y dispositivosUna vez que sepa qué dispositivos se conectarán a tu red, el responsable de seguridad TI debe crear diferentes niveles de acceso a los datos de la empresa, dependiendo de lo que haga cada empleado. Esto incluye acceso físico a dispositivos de red sensibles y archivos impresos. Ningún empleado debe tener acceso a datos que no son esenciales para sus tareas diarias. Solo los empleados pre aprobados deberían poder descargar o

instalar nuevos programas en su dispositivo.

Usa servicios enfocados a la privacidadConsidera reemplazar el software o las aplicaciones que utiliza tu empresa para manejar datos confidenciales con servicios centrados en la privacidad. Estos tipos de programas o aplicaciones generalmente usan cifrado de extremo a extremo (E2EE) para mantener la información inaccesible, excepto para su propietario (y, según el servicio, su destinatario). El Capítulo 5 tiene una lista completa de una gama de servicios centrados en

la privacidad que tu empresa puede usar.

Crear una red interna

segura

A medida que tu negocio crezca, deberás ajustar las precauciones de seguridad TI. Eventualmente, deberás comenzar a implementar herramientas tecnológicas, como tu propia red WiFi de negocios, servidores internos y un firewall. Esto también requerirá un responsable de seguridad TI tambien con experiencia técnica

33

Deberás seguir los pasos que a continuación se mencionan a medida que tu negocio crece. El uso de una WLAN segura puede adoptarse por empresas de cualquier tamaño, pero la implementación de un firewall, la segmentación de la red o el uso de una VPN corporativa solo se aplican a las empresas que ejecutan su propia red interna.

Seguridad WLAN Casi todas las empresas necesitan acceso a Internet para gestionar las tareas diarias. Para estar seguro, debes tener tu propio enrutador WiFi dedicado. Todos los enrutadores WiFi vendidos desde 2006 usan el protocolo WiFi Protected Access 2, que actualmente es el más seguro. Si te preocupa, verifica que tu tarjeta o dispositivo inalámbrico tenga una etiqueta de "CERTIFICADO DE Wi-Fi" para ver si usa WPA2. El siguiente paso es asegurarse de utilizar el modo Enterprise de WPA2, también conocido como 802.11i. Esto es más complejo de configurar que una red WiFi estándar, pero ofrece varias ventajas de seguridad esenciales, la más importante de las cuales es la eliminación de contraseñas compartidas y la

detección de WiFi.

Configura un Firewall de red Un cortafuegos correctamente configurado es la primera línea de defensa de tu red interna. Filtra los datos de la red o dispositivo y solo admite el tráfico permitido. Si tu red corporativa está conectada a Internet, un firewall perimetral evitará que los malos accedan a tu red al bloquear el tráfico que no cumpla con un conjunto predeterminado de criterios.

Page 35: Guia de seguridad de las tecnologias de la informacionrieger.es/files/Guia_seguridad_informatica_pymes.pdf · seguridad de la tecnología de la información (en adelante seguridad

34

Segmenta tu redLa segmentación de la red es la mejor manera de evitar que ocurra un fallo total del sistema si un agente malicioso o un malware traspasan tu firewall. Si tu red está segmentada, incluso si un servidor está comprometido, el malware puede ser contenido y el resto de tu infraestructura TI puede continuar funcionando. Debes basar la decisión de cómo segmentar tu red según la sensibilidad de los datos que se manejan y de dónde se inicia el tráfico. Un servidor al que se pueda acceder desde Internet no debe ubicarse en la misma red que un servidor que

contenga datos confidenciales.

Hay tres maneras de segmentar tu red: usando la traducción de direcciones de red (NAT), manteniendo redes WiFi separadas para empleados e invitados, o creando redes virtuales de área local (VLAN).

Los dispositivos de tus empleados no deben tener sus propias direcciones IP públicas. NAT permite que varios ordenadores en la misma red compartan una dirección IP pública al mismo tiempo. Si tu empresa emplea un NAT dinámico, agregas otra capa de protección entre tu red interna e Internet, ya que el NAT solo permitirá conexiones que inicien los dispositivos de tu sistema.

La red WiFi de tu empresa no debe compartirse con los invitados. Incluso con WPA2 Enterprise, permitir dispositivos no confiables en tu WiFi plantea el riesgo de introducir malware en tu red. Restringir a los visitantes a un segmento de red WiFi por separado también les impedirá acceder a servicios internos, como archivos de red e impresoras.

Ademas, te brinda un mayor control sobre el WiFi de tus invitados sin afectar al WiFi de tus empleados. Finalmente, asegúrate de que los dispositivos de tus empleados y tus servidores corporativos estén conectados a diferentes VLAN. Una VLAN es un ejemplo de segmentación de red definida por software. Particiona y aísla partes de una única red física para que las aplicaciones de red puedan mantenerse separadas.

Usa una VPN corporativaUn firewall protegerá y segmentará tu red, pero hoy en día, cada vez más empleados trabajan de forma remota. Debes encontrar una manera de que puedan acceder de forma segura a tus datos corporativos para que puedan hacer su trabajo. Necesitas un servicio VPN que cifrará la conexión a Internet. Si bien utilizará el mismo tipo de protocolos (OpenVPN o IKEv2), una VPN corporativa crea una conexión encriptada a través de Internet al servidor corporativo de tu empresa, lo que permite a tus empleados descargar y transmitir archivos de manera segura sin temor a que elementos maliciosos intercepten o manipulen tus datos .

Page 36: Guia de seguridad de las tecnologias de la informacionrieger.es/files/Guia_seguridad_informatica_pymes.pdf · seguridad de la tecnología de la información (en adelante seguridad

Las mejores practicas de seguridad TI

avanzadasUna vez que tu empresa haya establecido su propia red interna, las responsabilidades del responsable de seguridad TI cambiarán drásticamente, al igual que la experiencia necesaria para su trabajo. Además de mantener a tu personal capacitado y actualizado, estos tendrán que trabajar mucho más ampliamente con las herramientas tecnológicas que hayas

implementado para asegurar tu sistema.

Mantener la seguridad del usuario

Reevaluar la gestión de acceso basada en roles y la

separación de tareasLas empresas no son entes estáticos. Llegan nuevos empleados, se promueven empleados antiguos, se finalizan proyectos y se reasignan nuevos. La rotación del ciclo comercial significa que el tipo y la cantidad de datos a los que un empleado debe tener acceso cambian continuamente. Al mantener el acceso de los empleados limitado solo a los datos necesarios para realizar sus tareas diarias, se reduce la posibilidad de una violación catastrófica si una cuenta se ve comprometida. Tu responsable de seguridad de TI debe evaluar regularmente qué empleados tienen acceso a qué datos y confirmar con su supervisor que ese nivel de permiso es apropiado. Será necesario implementar un control de acceso basado en roles para definir

qué usuario puede acceder a qué datos

35 .

Deshabilita las cuentas viejas o inactivasLas cuentas antiguas, inactivas o no utilizadas son una amenaza para la seguridad. El administrador debe deshabilitarlas de manera regular. Verificalas siempre para asegurarte de que no haya una razón por la cual estas cuentas estén inactivas (como que el empleado se haya ido de vacaciones o permiso o esté de baja). Además, verifica si algún empleado ha sido despedido o renunció recientemente y haz que se agreguen a la lista. Una vez que la lista está preparada, y tu responsable de seguridad TI la ha verificado dos veces, se deben revisar y

deshabilitar las cuentas de usuario una a una.

Auditoria de registros

Revisa la información de seguridad y los sistemas de registros (con un SIEM, si es necesario)Todos los dispositivos de la red de tu empresa deben generar registros completos de eventos que puedas buscar, filtrar y revisar. Estos registros ayudarán a tu responsable de seguridad TI a detectar cualquier problema emergente o amenaza a la seguridad desde el principio. Todos estos informes deben estar en una ubicación centralizada. Al tener todos los informes y registros en un lugar, puedes buscar comportamientos anormales y asegurarte de que no se modifiquen por accidente o se eliminen o alteren maliciosamente.Un sistema SIEM (gestión de información de seguridad y eventos) agrega datos de tu red y utiliza motores de correlación estadística o basados en reglas para determinar cómo se ve la actividad normal en tu red, identificar cualquier desviación y tomar las medidas apropiadas.

Page 37: Guia de seguridad de las tecnologias de la informacionrieger.es/files/Guia_seguridad_informatica_pymes.pdf · seguridad de la tecnología de la información (en adelante seguridad

36

Un sistema SIEM también te permite ver en un solo punto todos los registros y grabaciones que genera la red, por lo que es mucho más fácil detectar patrones sospechosos. Si bien esta es una herramienta muy avanzada que debería emplearse en redes grandes, si la red de tu empresa tiene un sistema SIEM, revísalo regularmente. Ya sea que tu responsable de seguridad TI use un SIEM o verifique manualmente los registros de tu sistema, debe hacerlo regularmente para asegurarse de que no se haya detectado nada inusual y que los registros se graben como se esperaba. Si ocurre un ataque o un fallo y no tiene registros que revisar, será difícil encontrar y resolver el problema.

Revisa la actividad de los usuarios y los registros de acceso remotoLa forma más fácil de detectar actividades sospechosas es ver quién inicia sesión y desde dónde. Si alguien inicia sesión de forma remota después de que acabas de verlo en la oficina, o si alguien que ha sido despedido acaba de iniciar sesión, debes sospechar inmediatamente. Tu responsable de seguridad TI debe revisar regularmente estos registros, marcar todos los inicios de sesión sospechosos y hacer un seguimiento poniéndose en contacto con el propietario de la cuenta para averiguar qué estaba haciendo. Si el empleado desconoce el inicio de sesión o tiene motivos para pensar que su cuenta puede haber sido comprometida, deberá verificar si se accedió a datos confidenciales y tomar medidas para garantizar la seguridad de la cuenta (como cambiar su contraseña o suspender temporalmente la cuenta).

- Marca cualquier inicio de sesiónsospechoso.

- Registra quién estuvo involucrado, quésucedió y cuándo sucedió

- Verifica si se accedió a datosconfidenciales.

- Toma medidas para proteger los datos ola cuenta.

Page 38: Guia de seguridad de las tecnologias de la informacionrieger.es/files/Guia_seguridad_informatica_pymes.pdf · seguridad de la tecnología de la información (en adelante seguridad

37

Seguridad

avanzada de red

Verifica el ciclo de vida del ordenador y actualizalo según sea necesarioLa lista de todos los dispositivos conectados a la red debe expandirse para incluir todos los servidores y estaciones de trabajo de tu empresa. Este inventario debe actualizarse cada vez que se integren nuevos sistemas o

hardware en la red.

Verifica el ciclo de vida del software y actualizalo

según sea necesarioAdemás de una lista de todos tus dispositivos y hardware, debes mantener y agregar una lista completa de todo el software que estás utilizando en ellos, junto con sus actualizaciones más recientes. Estas se lanzan para corregir errores conocidos. Al usar una versión anterior de un programa, estás introduciendo una vulnerabilidad en tu sistema. Este inventario debe actualizarse siempre que el software o las aplicaciones se integren en la red.

El responsable de seguridad TI también debe verificar regularmente en línea para ver si hay nuevas versiones de alguno de los programas que está utilizando. Si uno ha sido actualizado, descarga la actualización (o envía un correo electrónico a otros empleados para descargar la actualización). Luego abre el inventario de software y agrega los detalles de esta actualización, nuevo programa o aplicación.

Verifica e instala los últimos parches de seguridad (con SCAP, si

corresponde)No implementar parches de seguridad regularmente es uno de los errores más comunes en cualquier red de ordenadores, y a menudo aparecen vulnerabilidades como resultado de malos procedimientos en el mantenimiento de los sistemas. SCAP, o Protocolo de automatización de contenido de seguridad, es un sistema automatizado que escaneará tu sistema buscando versiones de software vulnerables . El uso de SCAP permite a tu empresa beneficiarse de toda la comunidad SCAP de expertos en seguridad TI. Definen las diferentes configuraciones y casos de uso que SCAP debe tener en cuenta, lo que convierte a SCAP en una herramienta

integral de escaneo de vulnerabilidades.

Comprueba la seguridad de tu firewallEl responsable de seguridad TI debe verificar regularmente la seguridad del firewall para asegurarse de que no se pueda acceder a los servidores de tu empresa desde el exterior a través de un puerto desconocido. Debe ejecutar un escaneo para asegurarse de que los únicos puertos de la red que estén abiertos sean los que se hayan incluido en la lista autorizada. Realiza un escaneo de puerto externo a interno con Nmap.

- Comprueba qué puertos deben

abrirse.

- Realiza un escaneo remoto con Nmap

y compara el resultado.

Page 39: Guia de seguridad de las tecnologias de la informacionrieger.es/files/Guia_seguridad_informatica_pymes.pdf · seguridad de la tecnología de la información (en adelante seguridad

38

Evalúa la configuración del cortafuegosSi la prueba de seguridad del firewall no sale como se espera, entonces el responsable de seguridad TI debe evaluar la configuración del cortafuegos. Para asegurarte de que el firewall esta configurado correctamente, el administrador debe mirar las diferentes configuraciones que ofrece el mismo y ajustarlas para resolver el problema que encontró. Para hacer esto, también deberá validar el flujo de tráfico autorizado a tu sistema, así como entre zonas internas (si corresponde). A continuación, debe chequear la lista de verificación secundaria para solucionar problemas de la configuración básica que podría haber provocado el fallo de la prueba de seguridad del firewall.

- Revisa los filtros anti-spoofing- Consulta las reglas de permisos de usuario

- Comprueba la configuración de alertas del administrador del sistema

- Verifica el análisis del registro de tráfico del sistema.

Probar y ejecutar software antivirusEl antivirus solo es una medida preventiva. Funciona para detectar, poner en cuarentena y eliminar cualquier malware conocido que se cuele en tu sistema. Con el, tu red no se inundará de malware, por lo que a veces puede resultar difícil saber si el antivirus está haciendo su trabajo. Pero dado el papel esencial que desempeña el software antivirus en la seguridad general de la red, y especialmente para las estaciones de trabajo o servidores que manejen archivos, es crucial que el responsable de seguridad TI pruebe el software antivirus regularmente.

Puedes probar la resistencia de tu software antivirus descargando un archivo EICAR diseñado para simular una infección de virus o malware. Los archivos EICAR soncompletamente seguros y los expertos enseguridad TI los usan para ver si losprogramas antivirus funcionan como deberían.Sigue el proceso de la siguiente lista deverificación.

- Descarga el archivo EICAR- Ejecuta un análisis aislado para elarchivo EICAR.

El software antivirus de tu sistema debe detectar el archivo EICAR, alertarte y ponerlo en cuarentena. Si no es así, deberías considerar adquirir un nuevo software antivirus. Después de la prueba EICAR, realiza un escaneo completo del sistema:

- Inicia el panel de control del software antivirus

- Realiza un escaneo completo del sistema- Aísla y pon en cuarentena cualquier amenaza detectada.

Copia de seguridad de

los datos

Hacer copias de seguridad de los datos de tu empresa no es necesariamente parte de la seguridad de la red. Se parece más a una póliza de seguro en caso de que falle la seguridad de la red. Si el ransomware compromete los dispositivos de tu empresa o si hay un fallo del sistema, estas copias de seguridad ayudarán a tu empresa a recuperarse.

Page 40: Guia de seguridad de las tecnologias de la informacionrieger.es/files/Guia_seguridad_informatica_pymes.pdf · seguridad de la tecnología de la información (en adelante seguridad

Verifica y respalda los

datos del sistemaTu responsable de seguridad TI necesita hacer copias de seguridad periódicas de todos los datos más importantes. Recuerda, es mejor ser demasiado inclusivo que enfrentarse a un bloqueo del sistema que detendrá tu negocio porque no se guardó la carpeta correspondiente. Idealmente, el proceso de respaldo debe ser automatizado. Incluso si el proceso de copia de seguridad está automatizado, tu administrador debe verificar regularmente que todos los procesos se ejecuten sin problemas y que los datos realmente se estén guardando.

- Asegúrate de que los servidores estén completamente respaldados mediante copias de seguridad.

- Asegúrate de que las estaciones de trabajo estén completamente respaldadas mediante copias de seguridad.

Comprobar que las copias de seguridad funcionen y sean accesibles es tan importante como verificar que los datos estén siendo respaldados en primer lugar. Utilizando una muestra aleatoria de archivos de la copia de seguridad más reciente, tu responsable de seguridad TI debería intentar abrirlos en una estación de trabajo para ver si los datos son accesibles. Debe probar al menos tres archivos de respaldo para obtener un resultado más confiable.

- Toma tres imágenes de respaldo hechas en la última semana- Cárgalas todas en la misma configuración de tu sistema principal- Verifica que todas estén funcionando como se esperaba.

39

Evalúa el proceso de

respaldoSi los archivos de respaldo son inaccesibles o están corruptos, debe localizar el problema en el sistema de respaldo automatizado. Encontrar el problema puede requerir pruebas exhaustivas en cada etapa del proceso de copia de seguridad automática, incluyendo volver a guardar y volver a probar los archivos de copia de seguridad de todo el sistema o cambiar a un nuevo proceso de copia de seguridad automatizado.

- Prueba tres muestras aleatorias de copia de seguridad

- Evalúa tu proceso de copia de seguridad actual

- Considera cambiar a un nuevo proceso de respaldo.

Page 41: Guia de seguridad de las tecnologias de la informacionrieger.es/files/Guia_seguridad_informatica_pymes.pdf · seguridad de la tecnología de la información (en adelante seguridad

40

Mejores prácticas del responsable de TI

Área Mejores prácticas de seguridad

Básico

Entrena a los nuevos empleados en seguridad informatica (TI) (Capítulo 3)

Revisa e introduce regularmente nuevas practicas de seguridad TI con los empleados

Crea una base de datos de dispositivos aprobados

Establece niveles de permisos para empleados y dispositivos

Usa solo servicios centrados en la privacidad (Capítulo 5)

Avisa regularmente a los empleados sobre ataques de phishing y describe nuevas amenazas

Prueba a menudo el compromiso de los empleados con las prácticas de seguridad TI (Capítulo 3)

Creando una red interna segura

Seguridad WLAN

Configura un firewall de red

Segmenta tu red

Usa una VPN corporativa

Seguridad del usuario

Reevalua la gestión de acceso basada en roles y la separación de tareas

Deshabilita cuentas antiguas u obsoletas

Auditoría deregistro

Revisa la información de seguridad y los registros del sistema (con un SIEM, si corresponde)

Revisa la actividad de los usuarios y los registros de acceso remoto

Seguridad dela red

Verifica el ciclo de vida de los ordenadores y actualiza según sea necesario

Verifiqca el ciclo de vida del software y actualíza según sea necesario

Verifica e instala los últimos parches de seguridad (con SCAP, si corresponde)

Prueba la seguridad de tu firewall

Evalúa la configuración del firewall

Prueba y ejecuta software antivirus

Copias deseguridadde datos

Verifica y haz una copia de seguridad de los datos del sistema

Evalúa el proceso de respaldo

Comprobacionesde hardware Realiza mantenimiento rutinario de la red

Mejores practicas avanzadas de seguridad TIEsta lista debe revisarse cada dos semanas para cubrir los conceptos básicos de seguridad TI

Page 42: Guia de seguridad de las tecnologias de la informacionrieger.es/files/Guia_seguridad_informatica_pymes.pdf · seguridad de la tecnología de la información (en adelante seguridad

41

- Comunicaciones- Almacenamiento- Productividad- Seguridad- Seguridad avanzada de red

Hemos hecho el último capítulo de nuestra guía porque en la seguridad TI se trata principalmente de crear una cultura de conciencia de seguridad. El mero cambio a servicios encriptados no resolverá todos tus problemas de seguridad TI. Los cuatro capítulos anteriores que describen cómo implementar las mejores prácticas de seguridad TI forman la base de una política de seguridad sólida. Sin embargo, los siguientes servicios encriptados reducirán la exposición de tu empresa y, cuando se combinan con un equipo laboral consciente de la seguridad, pueden ayudar en gran medida a

evitar una violación o piratería de datos.

Ten en cuenta que, si bien algunas de estas herramientas significan buenas soluciones para empresas de cualquier tamaño, otras funcionarán mejor para empresas más pequeñas que no han creado su propia red interna.

Capítulo 5

Adopta las mejores soluciones

de seguridad TI para PymesLEE ESTE CAPÍTULO para ver todas las diferentes aplicaciones, programas y servicios que ofrecen a tu empresa una mayor seguridad TI y protección de los datos. Esta lista incluye servicios gratuitos y de pago para

Describimos algunas herramientas que las empresas más grandes pueden usar para proteger su red (consulta el capítulo 4), pero otras herramientas van a requerir la ayuda de expertos

para implementarlas correctamente en Pymes.

Page 43: Guia de seguridad de las tecnologias de la informacionrieger.es/files/Guia_seguridad_informatica_pymes.pdf · seguridad de la tecnología de la información (en adelante seguridad

42

1Communicación Proveedores Email

La mayoría de las pequeñas empresas confían en los correos electrónicos para manejar sus comunicaciones internas y externas. Las mejores prácticas de seguridad de correo electrónico son esenciales para mantener seguros los datos de tu empresa, pero algunos proveedores de correo electrónico ofrecerán a tu empresa más seguridad que otros.

1 Esto significa que esta herramienta se adhiere a las garantías técnicas definidas en las pautas del RGPD, lo que significa que puede contribuir a que una organización cumpla con RGPD. No significa que solo con el uso de esta herramienta su organización cumpla con RGPD.

2 Esto significa que esta herramienta cumple con las garantías técnicas definidas en las pautas de HIPAA (Health Insurance Portability and Accountability Act), lo que significa que puede contribuir a que una organización cumpla con HIPAA. No significa que con solo usar esta herramienta, su organización cumpla con HIPAA.

Plataformas:

Android, iOS, y web apps.

También tiene integración Bridge

con Microsoft Outlook, Mozilla

Thunderbird y Apple Mail

Precio: Tiene una opción gratis.

Los planes premium comienzan a

partir de 5 $ por usuario/mes.

Cumple con RGPD1: Si

Cumple con HIPAA2: Si

Sede: Ginebra, Suiza

ProtonMail

ProtonMail ofrece a sus usuarios cifrado automático de extremo a extremo. Sus correos electrónicos se cifran antes de que salgan de tu dispositivo para que solo tu y tu destinatario puedan acceder a ellos. Incluso puede proteger tus mensajes a usuarios que no son de ProtonMail enviando correos electrónicos protegidos con contraseña.

Page 44: Guia de seguridad de las tecnologias de la informacionrieger.es/files/Guia_seguridad_informatica_pymes.pdf · seguridad de la tecnología de la información (en adelante seguridad

43

Colaboración en equipoMuchas empresas tienen empleados y colaboradores que trabajan de forma remota. Esto puede dificultar la coordinación a menos que uses una aplicación de colaboración en equipo. Dada la cantidad de información que se puede intercambiar y almacenar en estas plataformas, es necesario usar una que esté encriptada.

Plataformas: Android, iOS, Linux, macOS, Windows, y complementos del navegador web

Precio: Empieza en 6€ usuario/mes

Cumple con RGPD: Si

Cumple con HIPAA: Si

Sede: Zug, Suiza

Wire

Wire es uno de los únicos servicios cifrados de extremo a extremo que permite llamadas grupales, lo que lo hace más seguro que Slack cuando se trata de administrar la comunicación del equipo. Wire ha sido auditado de forma independiente y es completamente de código abierto, lo que te garantiza que el código de Wire está haciendo exactamente lo que ellos dicen que hace.

Mensajeria

Wire es uno de los únicos servicios cifrados de extremo a extremo que permite llamadas grupales, lo que lo hace más seguro que Slack cuando se trata de administrar la comunicación del equipo. Wire ha sido auditado de forma independiente y es totalmente de código abierto, lo que te garantiza que el código de Wire está haciendo exactamente lo que ellos dicen que hace.

Signal

Signal se considera como la aplicación de mensajería cifrada más segura que existe. Admite textos, textos grupales, así como llamadas de voz y video. Sin embargo, las llamadas de conferencia entre más de dos personas no son posibles.

Plataformas: Android, iOS, Linux, macOS, y Windows

Precio: GratisCumple con RGPD: Si

Cumple con HIPAA: Si( advertencias) Sede: Mountain View, California, USA

Page 45: Guia de seguridad de las tecnologias de la informacionrieger.es/files/Guia_seguridad_informatica_pymes.pdf · seguridad de la tecnología de la información (en adelante seguridad

44

Threema Work

Threema Work, a diferencia de Signal, no requiere un número de teléfono para crear una cuenta, lo que significa que Threema Work es lo más cercano a la mensajería verdaderamente anónima. La sede de la compañía se encuentra en Suiza, lo que brinda a tu servicio fuertes protecciones legales de privacidad.

Plataformas: Android, iOS, Windows phone, y web app

Precio: Comienza en 1.40 CHF por dispositivo/mes

Cumple con RGPD: Si

Cumple con HIPAA: No

Sede: Pfäffikon, Suiza

2Almacenamiento

Almacenamiento en la nube

El almacenamiento en la nube ha redefinido cómo pueden funcionar las oficinas. Al almacenar archivos en la nube, tu empresa puede mantener una copia de seguridad de todos los documentos críticos en caso de un fallo catastrófico del sistema, así como compartir fácilmente documentos y sincronizar el trabajo entre diferentes empleados. Proteger estos archivos y los datos que contienen debe ser una de las principales prioridades de la empresa.

Tresorit

Tresorit es un servicio de almacenamiento en la nube cifrado de extremo a extremo. Ha optimizado su servicio para empresas, permitiéndote crear diferentes niveles de acceso para varios documentos y revocar el acceso de los usuarios y dispositivos a los archivos.

Plataformas: Android, iOS, Linux, macOS, y Windows

Precio: Comienza con 25$ para dos usuarios/mes.

Cumple con RGPD: Si

Cumple con HIPAA: Si

Sede: Zurich, Suiza

Page 46: Guia de seguridad de las tecnologias de la informacionrieger.es/files/Guia_seguridad_informatica_pymes.pdf · seguridad de la tecnología de la información (en adelante seguridad

Plataformas: Android, iOS, macOS, y Windows

Precio: Comienza con 10$ por usuario/mes

Cumple con RGPD: Si

Cumple con HIPAA: Si

Sede: Toronto, Canada

Plataformas: Android, iOS, Linux, macOS, Windows, y un complemento de navegador web Chrome

Precio: Comienza en 600$ para cinco usuarios/año. (También hay un plan de negocios individual que cuesta 96$ por usuario/año, pero tiene menos funcionalidad).

Cumple con RGPD: Si

Cumple con HIPAA: Si

Sede: Augsburgo, Alemania

Sync

Sync es otro servicio de almacenamiento en la nube cifrado de extremo a extremo, similar a Tresorit. Otorga control administrativo a las empresas, permitiendo a los supervisores crear diferentes niveles de acceso para diferentes empleados. La sincronización también te permite obtener una vista previa de tus archivos antes de abrirlos.

Boxcryptor

Boxcryptor es ligeramente diferente. Te permite cifrar tus documentos antes de guardarlos en un servicio en la nube distinto, como DropBox o Google Drive. Tus empleados aún pueden colaborar fácilmente y compartir archivos en la nube, pero ahora tus documentos están seguros.

Cryptomator

Cryptomator es la versión gratuita y de código abierto de Boxcryptor. Con Cryptomator, tus empleados pueden crear un disco duro virtual que esté conectado a una carpeta (llamada "bóveda") en tu servicio de almacenamiento en la nube y protegerlo con una contraseña. Cualquier documento que arrastres y sueltes en el disco duro virtual se codifica automáticamente y se realiza una copia de seguridad en la bóveda. También hay Cryptomator Server, para empresas más grandes que buscan agregar cifrado a los archivos en los servidores de su empresa.

Plataformas: Android, iOS, macOS, y Windows

Precio: Gratis (Hay una tarifa única de 9.49$ para descargar la aplicación de Android y 9.99$ para descargar la aplicación de iOS).

Cumple con RGPD: Si

Cumple con HIPAA: SiSede: Sankt Augustin, Alemania

45

Page 47: Guia de seguridad de las tecnologias de la informacionrieger.es/files/Guia_seguridad_informatica_pymes.pdf · seguridad de la tecnología de la información (en adelante seguridad

46

Otros servicios en la nube

pCloud es un servicio en la nube cifrado de extremo a extremo. Cumple con RGPD, permite autentificación de dos factores y sus suscripciones comerciales comienzan en 7.99$ usuario/mes/TB.

Spideroak es un servicio de almacenamiento en la nube cifrado de extremo a extremo similar a Tresorit, pero no ofrecen seguridad de autentificación de dos factores en sus cuentas.

3Productividad

Bloc de notas

También conocido como "editor de texto", un bloc de notas es un programa que te permite escribir y editar texto sin formato. Se puede usar un bloc de notas para guardar notas, escribir documentos y alterar archivos de configuración o código fuente del lenguaje de programación.

Standard Notes

Standard Notes es una aplicación cifrada de extremo a extremo de notas que puede sincronizar tus notas en todos tus dispositivos. Su interfaz limpia y las numerosas extensiones significan que puedes usarla para todo, desde escribir recordatorios hasta la codificación.

Plataformas: Android, iOS, Linux, macOS, Windows, y complementos de navegador

Precio: Tiene una opción gratis. Los planes premium comienzan con 9.99$ por usuario/mes.

Sede: USA

Page 48: Guia de seguridad de las tecnologias de la informacionrieger.es/files/Guia_seguridad_informatica_pymes.pdf · seguridad de la tecnología de la información (en adelante seguridad

47

Joplin

Joplin es otra aplicación de edición de notas cifrada de extremo a extremo, pero a diferencia del bloc de notas estándar, los usuarios deben activar manualmente la función de cifrado de extremo a extremo. Joplin se basa en servicios externos, como NextCloud o Dropbox para sincronizarse entre dispositivos.

Plataformas: Android, iOS, Linux, macOS, y Windows

Precio: GratisCumple con RGPD: Si

Sede: No consta

4Seguridad VPN

Una red privada virtual es una forma efectiva de agregar una capa de cifrado a tu actividad en línea. También permite a tus empleados trabajar de forma segura con WiFis públicas mientras estén viajando.

ProtonVPN

ProtonVPN asegura tu conexión a Internet con cifrado AES de 256 bits, el mas seguro estándar de la industria, y su uso de Perfect Forward Secrecy significa que incluso si tu tráfico es interceptado y guardado, nunca podrá ser descifrado posteriormente.

Plataformas: Android, iOS, Linux, macOS, y Windows

Precio: Tiene una opción gratis. Los planes premium comienzan con 5$ por usuario/mes.

Sede: Ginebra, Suiza

Page 49: Guia de seguridad de las tecnologias de la informacionrieger.es/files/Guia_seguridad_informatica_pymes.pdf · seguridad de la tecnología de la información (en adelante seguridad

48

Gestor de contraseñasCrear contraseñas o frases de contraseñas únicas y seguras para tus cuentas es uno de los aspectos básicos de la seguridad TI, pero ningún empleado puede recordar todas las contraseñas necesarias para iniciar sesión en todas las plataformas que necesita usar para trabajar. Un administrador de contraseñas resuelve este problema. Al encriptar de forma segura todas tus contraseñas, un administrador de contraseñas te permite crear contraseñas que son imposibles de descifrar, sin tener que recordarlas todas. Usar un administrador de contraseñas confiable para proteger tus contraseñas es una de las formas más fáciles de mejorar la seguridad de tu empresa.

Plataformas: Android, iOS, Linux, macOS, Windows, y complementos web

Precio: Comienza en 5$ por cinco usuarios/mes

Sede: Florida, USA

Bitwarden

Bitwarden es un administrador de contraseñas cifradas de código abierto de extremo a extremo. Ayuda a tus empleados a crear contraseñas generadas aleatoriamente para todas sus cuentas y luego las sincroniza en todos sus dispositivos.

1Password

1Password es otro administrador de contraseñas cifradas de extremo a extremo, pero tiene un extra de seguridad. Si bien es solo de pago, se considera uno de los administradores de contraseñas más seguros. Su función Watchtower te alertará si alguna de tus contraseñas ha sido expuesta en violaciones de datos recientes.

Plataformas: Android, iOS, Linux, macOS, Windows, y complementos web

Precio: Comienza en 3.99$ por usuario/mes

Sede: Toronto, Canada

Page 50: Guia de seguridad de las tecnologias de la informacionrieger.es/files/Guia_seguridad_informatica_pymes.pdf · seguridad de la tecnología de la información (en adelante seguridad

49

Plataformas: Android, iOS, macOS, Windows, y complementos web

Precio: Comienza con 4$ usuario/mes

Sede: Nueva York, USA

Dashlane

Dashlane también es un administrador premium de contraseñas cifradas de extremo a extremo. Analizará las violaciones de seguridad conocidas y te enviará una alerta si encuentra alguna de tus contraseñas entre las expuestas. Su plan de negocios también viene con una consola de administración que te permite establecer niveles de permisos para todos tus

empleados.

Other password managers

LastPass: Un administrador de contraseñas premium, pero no alerta a sus usuarios si su contraseña está expuesta en una violación de datos.

KeePass / KeePassXC: Ambos son administradores de contraseñas de código abierto y gratuitos, pero ninguno de ellos ofrece aplicaciones móviles oficiales.

Autentificación en dos pasos

Para garantizar que tus cuentas críticas estén seguras, debes habilitar la autentificación de dos factores (2FA) además de usar una contraseña segura y única. El sitio Two Factor Auth te ayudará a identificar en qué servicios puedes usar 2FA. Al usar 2FA en tus cuentas, puedes evitar que los intrusos accedan a tus cuentas incluso si obtienen sus contraseñas.

YubiKey

El YubiKey es un token de hardware (una memoria USB especializada, llave digital) que puedes conectar a tu dispositivo para confirmar tu identidad. Si bien se cree que es la forma más segura de 2FA, relativamente pocos servicios admiten el token de hardware 2FA.

Plataformas: YubiKey 5 NFC funciona con macOS, Windows y dispositivos Android e iOS equipados con NFC

Precio: Un YubiKey 5 NFC cuesta 45$.

Sede: Palo Alto, USA

Page 51: Guia de seguridad de las tecnologias de la informacionrieger.es/files/Guia_seguridad_informatica_pymes.pdf · seguridad de la tecnología de la información (en adelante seguridad

50

Plataformas: La aplicación Duo está disponible en Android e iOS

Precio: Tiene una opción gratis. Los planes premium comienzan en 3$ por usuario/mes.

Sede: Austin, USA

Duo

Duo ofrece varias soluciones 2FA, incluidas las que incorporan tokens de hardware Yubikey, solicitudes de confirmación enviadas a la aplicación Duo que frustran los ataques de hombre en medio y los códigos de acceso de un solo uso basados en el tiempo.

Otros servicios de autentificación de dos factores

Aplicación Google Authenticator: Google ofrece una aplicación de autentificación gratuita que crea contraseñas de un solo uso de tiempo limitado para fines de 2FA. No tiene la misma funcionalidad que Duo o YubiKey

Cifrado de disco

Todos tus dispositivos deben usar algún tipo de cifrado de disco para evitar el acceso no autorizado al almacenamiento de datos de los mismos en caso de que sean robados o perdidos. Al cifrar el disco duro de tu teléfono inteligente u ordenador, conviertes tus datos confidenciales en un código ilegible que solo se puede descifrar con tu contraseña. Todas las opciones que se analizan a continuación son ejemplos de software de cifrado de disco.

VeraCrypt

VeraCrypt es un servicio de cifrado de disco de código abierto. Con VeraCrypt, tus empleados pueden cifrar el disco duro de su dispositivo, cifrar su unidad flash USB o incluso ocultar la cantidad de volumen que tienen en su disco duro.

Plataformas: Linux, macOS, Windows

Precio: Gratis

Sede: No consta

Page 52: Guia de seguridad de las tecnologias de la informacionrieger.es/files/Guia_seguridad_informatica_pymes.pdf · seguridad de la tecnología de la información (en adelante seguridad

51

Otros servicios de cifrado de disco

FileVault: FileVault está disponible en macOSX, Lion

y posteriores. Puedes usarlo para cifrar completamente

tu disco de inicio.

BitLocker: BitLocker está disponible en la mayoría

de dispositivos con Windows 7 y Windows 10.

Es un servicio de cifrado de disco completo potente.

LUKS: LUKS es un servicio de cifrado de disco duro

de código abierto para linux gratuito

Cifrado nativo para Android e iOS: cualquier

dispositivo 3G iOS o posterior y cualquier Android

Lollipop (5.x) o posteriores están equipados con

sus propios servicios nativos de cifrado de disco.

Para aprender como cifrar su dispositivo Android,

haz clic aqui. Para encriptar tu dispositivo iOS,

haz clic aqui.

Software antivirus personalEl software antivirus (AVS) es una medida preventiva destinada a mantener limpios tus dispositivos. AVS escanea el dispositivo en busca de malware, desde ransomware hasta rootkits. Si detecta alguno, intentará eliminarlos. Los AVS más modernos también proporcionan medidas de prevención de malware.

Bitdefender

Bitdefender suministra una fuerte protección antivirus, pero es lo suficientemente ligero como para no ralentizar tu dispositivo. El AVS recibe actualizaciones diarias para que ningún malware pueda cogerte por sorpresa. También tienen una opción más avanzada para oficinas más grandes. Protegerá tus servidores y todas tus estaciones de trabajo de punto final sin atascar su red.

Plataformas: Android, macOS y Windows están disponibles de forma gratuita. iOS está disponible con un plan pago.

Precio: Tiene una opción gratis. Para las oficinas pequeñas comienza en 99$ por año para cinco dispositivos.

Sede: Rumania

Page 53: Guia de seguridad de las tecnologias de la informacionrieger.es/files/Guia_seguridad_informatica_pymes.pdf · seguridad de la tecnología de la información (en adelante seguridad

52

5Advanced network security

Esta es solo una introducción a algunas de las herramientas avanzadas para empresas que tienen su propia red interna. Estas herramientas te ayudarán a proteger tu red, evitarán la aparición de vulnerabilidades y ayudarán a lidiar con cualquier amenaza o malware que supere tus defensas. La mayoría, si no todas, de estas herramientas requerirán que un experto en TI las instale y configure correctamente. Si tu empresa no tiene su propia red interna, estas herramientas no son necesarias.

Plataformas: Fedora, Centos, FreeBSD, Windows

Precio: GratisSede: No consta

Snort

Snort es un IDS/IPS de código abierto que puede realizar análisis de tráfico en tiempo real y registro de paquetes en redes de protocolo de Internet. También puede detectar una serie de sondeos y ataques y tomar medidas para detenerlos.

Suricata

Suricata También es un IDS/IPS de código abierto que puede realizar análisis de tráfico en tiempo real. Usando las extensas reglas que tiene incorporadas, Suricata puede buscar amenazas complejas.

Plataformas: FreeBSD, Linux, macOS, Ubuntu, UNIX, Windows

Precio: GratisSede: No consta

Sistemas de detección de intrusiones/prevención de intrusionesUn sistema de detección/prevención de intrusiones (IDS/IPS) monitorea tu red en busca de actividad maliciosa, violaciones de políticas o malware. Si detecta alguna de estas, notificará a tu administrador TI o enviará un informe a tu sistema de información de seguridad y gestión de eventos (SIEM). Dependiendo de la amenaza que encuentre, tu IDS/IPS también podría intentar detener la actividad maliciosa.

Page 54: Guia de seguridad de las tecnologias de la informacionrieger.es/files/Guia_seguridad_informatica_pymes.pdf · seguridad de la tecnología de la información (en adelante seguridad

53

Escaner de redUn escáner de red busca en tu sistema vulnerabilidades en la seguridad. Si detecta una debilidad en la red, enviará un informe a tu administrador TI. Este usará este informe para abordar las vulnerabilidades encontradas y hacer que la red sea más resistente.

Nmap

Nmap Es un escáner de red de código abierto. Además de encontrar vulnerabilidades de red, puedes usar Nmap para identificar puertos abiertos para prepararte para una auditoría de red o para generar tráfico a hosts de una red y medir su tiempo de respuesta.

Plataformas: FreeBSD, Linux (todas las versiones), macOS, Windows

Precio: GratisSede: No consta

Protocolo de automatización de contenido de seguridadSCAP es un sistema automatizado que escaneará tu sistema, buscando versiones vulnerables de software. SCAP permite que tu empresa se beneficie de toda la comunidad SCAP de expertos en seguridad TI. Definen las diferentes configuraciones y casos de uso que SCAP debe tener en cuenta, lo que convierte a SCAP en una herramienta integral de escaneo de parches.

OpenSCAP

OpenSCAP es un sistema SCAP de código abierto que se asegurará de que tu sistema cumpla con las políticas y reglas que crea la comunidad SCAP. Con docenas de políticas diferentes, podrás encontrar la adecuada para tu organización.

Plataformas: CentOS, Debian, Fedora, Scientific Linux, Red Hat Enterprise Linux, Ubuntu

Precio: GratisSede: No consta

Page 55: Guia de seguridad de las tecnologias de la informacionrieger.es/files/Guia_seguridad_informatica_pymes.pdf · seguridad de la tecnología de la información (en adelante seguridad

54

Gestión de información de seguridad y eventosUn sistema SIEM agrega todos los datos de tu red y luego utiliza motores de correlación estadística o basados en reglas para identificar una línea básica que presupone como actividad normal en la red. Después busca cualquier desviación de esta línea. Si encuentra algo que cree que no es normal, tomará medidas para detenerlo. También es una plataforma para que tu administrador TI monitoree y busque los registros de red.

Platforms: Arch Linux, CentOS, Debian, Fedora, Gentoo, Mageia, Red Hat Enterprise Linux, Ubuntu

Price: The cost of a license for Prelude SIEM depends primarily on the number of devices that send their data to the system, whatever the volume.

Headquarters : N/A

Prelude

Hay dos productos Prelude: Prelude OSS y Prelude SIEM. Prelude OSS es un sistema SIEM universal, gratuito y de código abierto, pero está destinado a redes más pequeñas o para investigación. El mas potente Prelude SIEM está disponible para empresas mayores y para asegurar redes más grandes y complejas. Ambos sistemas agregan datos de todas sus herramientas de seguridad TI, independientemente de su marca. Trabajarán con cualquiera de los dos IDS/IPS de esta lista.

OSSIM AlienVault

AlienVault e s ahora parte de AT&T Cybersecurity, pero su sistema SIEM de código abierto, OSSIM, todavía está disponible de forma gratuita. Además de permitir a sus usuarios recopilar y correlacionar registros de eventos, OSSIM está conectado al Open Threat Exchange de AlienVault, que permite a los usuarios informar y recibir actualizaciones sobre los últimos hosts maliciosos. También funciona con Snort y Suricata. Ten cuidado porque OSSIM no es una solución para la administración de registros. Si eso es lo que deseas, necesitarías usar USM (versión de pago de OSSIM) u otro sistema de administración de registros como Elastic Stack.

Plataformas: Ha de instalarse en una maquina virtual

Precio: GratisSede: San Mateo, USA

Page 56: Guia de seguridad de las tecnologias de la informacionrieger.es/files/Guia_seguridad_informatica_pymes.pdf · seguridad de la tecnología de la información (en adelante seguridad

55

Plataformas: Docker, Linux, macOS, Windows

Precio: Gratis

Sede: Mountain View, USA

Elastic Stack

Elastic Stack, o su versión anterior, ELK (que significa Elastisearch, Logstash y Kibana, los tres proyectos principales), es más un sistema de visualización de datos que específicamente un SIEM, pero se puede usar como uno. Todos los productos del pack son de código abierto, y juntos te permiten tener una imagen completa de tu sistema y la actividad de sus empleados.

Firewall de red

Un firewall de red es un sistema de seguridad de red que monitorea y controla el tráfico de red entrante y saliente entre dos o más redes en función de una serie de reglas de seguridad predeterminadas. Un firewall generalmente establece una barrera entre tu red interna y otras redes externas, como Internet. Un firewall de red se ejecuta en el hardware de la red.

OPNSense

Plataformas: HardenedBSD Precio: Gratis

Sede: Middelharnis, Holanda

OPNsense es la versión de código abierto de la distribución de software de firewall pfSense. Se puede instalar en un ordenador o máquina virtual para crear un firewall de red.

iptables

iptables permite a los administradores del sistema configurar tablas, cadenas y reglas en el firewall del kernel de Linux. Esto le da al administrador el control sobre cómo entran y viajan los paquetes de datos por el sistema.

Plataformas: Linux

Precio: Gratis

Sede: No consta

Page 57: Guia de seguridad de las tecnologias de la informacionrieger.es/files/Guia_seguridad_informatica_pymes.pdf · seguridad de la tecnología de la información (en adelante seguridad

56

firewalld

firewalld es un firewall de código abierto, administrado dinámicamente que te permite establecer diferentes niveles de confianza en tu red. También funciona usando iptables del sistema Linux para filtrar paquetes de datos.

Plataformas: Linux

Precio: Gratis

Sede: No consta

Page 58: Guia de seguridad de las tecnologias de la informacionrieger.es/files/Guia_seguridad_informatica_pymes.pdf · seguridad de la tecnología de la información (en adelante seguridad

57

Area Tipo Herramientas recomendadas

Comunicación

Proveedor email ProtonMail

Colaboración de equipos Wire

Mensajeria Signal, Threema Work

Almacenamiento Almacenamiento en la nube Tresorit, Sync, Boxcryptor, Cryptomator

Productividad Bloc de notas Standard Notes, Joplin

Seguridad

VPN ProtonVPN

Gestor de contraseñas Bitwarden, 1Password, Dashlane

Autentificacion de dos etapas YubiKey, Duo

Cifrado de disco VeraCrypt

Software antivirus personal Bitdefender

Seguridad avanzada de red

Sistema de detección/prevención de intrusiones

Snort, Suricata

Escaneo de red Nmap

Protocolo automático de contenido de seguridad

OpenSCAP

Gestión de información de seguridad y de eventos.

Prelude, OSSIM AlienVault, Elastic Stack

Firewall de red OPNsense, iptables, firewalld

Lista de herramientas de seguridad TI recomendadasRecomendamos las siguientes herramientas para pequeñas y medianas empresas. Una fuerza laboral capacitada que esté atenta a las amenazas cibernéticas es el activo de seguridad TI más importante que podría tener tu empresa. Dicho esto, estas herramientas reducirán la exposición de tu empresa al agregar una capa de cifrado a tus comunicaciones, archivos y operaciones. Ten en cuenta que constantemente se desarrollan nuevas herramientas y amenazas. Siempre debes estar atento a los nuevos productos.

Page 59: Guia de seguridad de las tecnologias de la informacionrieger.es/files/Guia_seguridad_informatica_pymes.pdf · seguridad de la tecnología de la información (en adelante seguridad

58

ReferenciasPágina 6: 1. Verizon, 2018 Data Breach Investigations Report, 11th edition 2. Netwrix, 2017 IT Risks Report 3. Cisco 2018 Annual Cybersecurity Report 4. Ioannis Agrafiotis, Jason R C Nurse, Michael Goldsmith, Sadie Creese, David Upton. A taxonomy of cyber-harms: Defining the impacts of cyber-attacks and understanding how they propagate. Journal of Cybersecurity, 2018, DOI: 10.1093/cybsec/tyy006 5. 2017 State of Cybersecurity Among Small Businesses in North America, BBB, 2017

Página 14: 1. CyberArk, Global Advanced Threat Landscape Report 2018 2. Symantec, Internet Security Threat Report, 2019 3. Symantec, Internet Security Threat Report, 2017 4. Verizon, 2018 Data Breach Investigations Report, 11th edition

Página 25: 1. Knowbe4, 2018 2. FBI, 2017 3. PhishLabs, 2019, Phishing Trends & Intelligence Report: The Growing Social Engineering Threat 4. Symantec, Symantec Internet Security Threat Report-2018, 2018