El treinta de noviembre de cada año se celebra el Día Internacional de la Seguridad Informática, y creo que es un buen momento para darle un repaso. Este término, seguridad informática, es muy amplio. Lo impregna todo: ordenadores personales, dispositivos móviles, copias de seguridad, privacidad, control del acceso a la información, sitios web, almacenamiento en la nube, etc. Como todo esto da para escribir varios libros, en este artículo voy a centrarme solamente en algunos aspectos básicos, pero no por ello menos importantes, de la seguridad informática que una empresa con presencia en el mundo digital debe conocer y cuidar.

LOS EMPLEADOS DE LA EMPRESA

Es importante que los empleados de una empresa cuiden la seguridad informática de sus equipos y tengan hábitos saludables en la utilización de las tecnologías de la información y las comunicaciones (TIC). Si esto no se cumplen corremos el riesgo de publicar en el sitio web de la empresa documentos infectados con ‘malware’ (software malicioso), que secuestren los ordenadores de la empresa con ‘ramsonware‘ o que nos roben información confidencial.

SEGURIDAD INFORMÁTICA EN LA EMPRESA

Esta, además de concienciar, formar y poner los medios necesarios para que sus empleados adopten buenas prácticas de seguridad informática, tiene también importantes tareas que cumplir. Todas ellas se resumen en la creación e implantación del llamado Sistema de Gestión de la Seguridad de la Información (SGSI), cuyos principales objetivos detallo a continuación. Es importante que las empresas se pregunten si están cumpliendo estos objetivos, y si la respuesta es negativa que pongan los medios para cumplirlos.

• Definir y hacer cumplir una política sobre el uso de los ordenadores de la empresa: política de contraseñas, programas informáticos oficiales permitidos, política de instalación de programas, uso de memorias USB, dispositivos que pueden o no conectarse a los ordenadores, etc.
• Política sobre dispositivos móviles: debe contemplar qué dispositivos móviles permite la empresa y en qué condiciones se deben utilizar. Si los empleados pueden utilizar sus equipos, algo que se conoce como BYOD (del inglés ‘Bring Your Own Device’, ‘Trae Tu Propio Dispositivo’) , se debe definir en qué condiciones. Sean los equipos móviles de los empleados o de la empresa, se debe marcar una política sobre el cifrado de la información de teléfonos, tabletas y portátiles que salen de la empresa, de su bloqueo con contraseñas u otras medidas y de los medios de conexión a internet que estos dispositivos deben utilizar. Pregúntate qué consecuencias tendría que los dispositivos móviles que se utilizan en tu empresa se perdieran o los robaran.
• Protección de la información: todas las empresas tienen ordenadores donde almacenan su información. En algunos casos son equipos localizados en las oficinas de la empresa y en otros casos son equipos localizados en la nube, en internet. En cualquier caso se debe definir y cumplir una política que garantice que sólo aquellas personas autorizadas acceden  a una determinada información. Debe considerarse que la principal fuente de fuga de información son los empleados. También debe garantizarse la salvaguarda de la información a través de una política de copias de seguridad adecuada.
• Plan de contingencia: de todos los aspectos de la seguridad informática en una empresa mi experiencia me dice que este es el más descuidado. En Madrid, en el año 2005, se incendió la Torre Windsor. De la noche a la mañana las oficinas de muchas empresas ya no existían. Las empresas que sobrevivieron al desastre tenían un plan de contingencia. Preguntémonos: si debido a cualquier siniestro tu empresa física desaparece, ¿tienes una plan que detalle los pasos a dar para ponerla de nuevo en marcha?, ¿serías capaz de recuperar toda la información que tu empresa necesita para funcionar?, ¿en cuánto tiempo serías capaz de volver a atender a tus clientes y en tener la empresa operativa al cien por cien?

En resumen, la seguridad informática es algo importante que toda empresa debe atender. El Día Internacional de la Seguridad Informática es buen momento para la reflexión, pero no es cosa de un día y las empresas debemos atender la seguridad todo el año.

Backups / Copias de Seguridad

El Backup de archivos permite tener disponible e íntegra la información para cuando sucedan los accidentes. Sin un backup, simplemente, es imposible volver la información al estado anterior al desastre.

Como siempre, será necesario realizar un análisis Costo/Beneficio para determinar qué información será almacenada, los espacios de almacenamiento destinados a tal fin, la forma de realización, las estaciones de trabajo que cubrirá el backup, etc.

Para una correcta realización y seguridad de backups se deberán tener en cuenta estos puntos:

1. Se debe de contar con un procedimiento de respaldo de los sistemas operativos y de la información de los usuarios, para poder reinstalar fácilmente en caso de sufrir un accidente.
2. Se debe determinar el medio y las herramientas correctas para realizar las copias, basándose en análisis de espacios, tiempos de lectura/escritura, tipo de backup a realizar, etc.
3. El almacenamiento de los Backups debe realizarse en locales diferentes de donde reside la información primaria. De este modo se evita la pérdida si el desastre alcanza todo el edificio o local.
4. Se debe verificar, periódicamente, la integridad de los respaldos que se están almacenando. No hay que esperar hasta el momento en que se necesitan para darse cuenta de que están incompletos, dañados, mal almacenados, etc.
5. Se debe de contar con un procedimiento para garantizar la integridad física de los respaldos, en previsión de robo o destrucción.
6. Se debe contar con una política para garantizar la privacidad de la información que se respalda en medios de almacenamiento secundarios. Por ejemplo, la información se debe encriptar antes de respaldarse.
7. Se debe de contar con un procedimiento para borrar físicamente la información de los medios de almacenamiento, antes de desecharlos.
8. Mantener equipos de hardware, de características similares a los utilizados para el proceso normal, en condiciones para comenzar a procesar en caso de desastres físicos. Puede optarse por:

• Modalidad Externa: otra organización tiene los equipos similares que brindan la seguridad de poder procesar la información, al ocurrir una contingencia, mientras se busca una solución definitiva al siniestro producido.
• Modalidad Interna: se tiene más de un local, en donde uno es espejo del otro en cuanto a equipamiento, características técnicas y capacidades físicas. Ambos son susceptibles de ser usados como equipos de emergencia.
• Se debe asegurar reproducir toda la información necesaria para la posterior recuperación sin pasos secundarios. Por ejemplo, existe información que es función de otra (checksums). Si sólo se almacenara la información principal, sin sus checksums, esto puede derivar en la inutilización de la misma cuando se recupere el backup

Consejos de seguridad informática para médicos

Consejos de seguridad informática

No cabe duda que el ordenador es una herramienta de trabajo indispensable en estos días, pero su uso no está exento de peligros: estafas informáticas, robo de datos… Para estar protegidos es importante tener en cuenta unos mínimos consejos de seguridad informática, especialmente útiles para aquellas personas, como lo médicos, que trabajan con información sensible.

Consejos de seguridad informática

Usar contraseñas

Igual que no dejarías las historias clínicas de tus pacientes a la vista de cualquiera, en los ordenadores también es necesario poner la información almacenada en un lugar seguro. Las contraseñas son como las cerraduras que mantienen la puerta cerrada a los curiosos y otros visitantes indeseados.

Configura en tu ordenador una sesión privada a la que solo puedas acceder para mantener tu información privada a salvo. Las contraseñas deben ser de al menos 8 caracteres y mezclar números y letras.

Actualizar tu equipo con frecuencia

Deja de usar las computadoras con sistemas operativos inseguros como Microsoft Windows 98 o Windows XP. Utiliza la última versión de Windows. Mantén el software actualizado, sobre todo el sistema operativo, el navegador de Internet y una herramienta anti-virus. Cualquier programa fuera de la fecha de finalización puede tener debilidades que permiten a los atacantes acceder a tu información.

Utilizar software antivirus

Nadie debería estar sin un software antivirus instalado en su ordenador. Por suerte existen muchos productos comerciales que pueden ayudar a proteger tu equipo de virus, gusanos, troyanos y otras herramientas de hackers (también hay antivirus gratuitos).

Utilizar un firewall

Un firewall (que podemos traducir como cortafuegos) trata de bloquear a los hackers que intenten entrar en tu ordenador. Asegúrate de que tienes un router / firewall correctamente instalado y configurado. El error más común que los usuarios domésticos hacen es comprar un router / firewall pero nunca restablecer la contraseña por defecto… es como dejar las llaves en la puerta.

Utilizar conexiones seguras

No transmitas sin cifrar información de salud protegida (PHI) a través de redes públicas (por ejemplo, el Wi-Fi de hoteles, cafeterías…). Si necesitas trabajar en la habitación de un hotel o en una cafetería, por ejemplo, resulta más seguro llevar un pincho cde conexión móvil.

Mantener buenos hábitos informáticos

En el ordenador de trabajo, desinstala cualquier aplicación de software que no sea esencial para tu labor (por ejemplo, juegos, clientes de mensajería instantánea, herramientas para compartir fotos). No entres en páginas sospechosas ni te descargues archivos si su procedencia no es de confianza.

Mitos sobre seguridad en Internet ¿verdaderos o falsos?

Es recomendable tener apuntadas las contraseñas en algún lugar, así si se olvidan por algún motivo, podemos consultarlas rápidamente.  Falso      La contraseña es algo privado, no la dejes escrita en ningún sitio, y mucho menos al lado del ordenador.

Cuantos más programas antivirus tengas instalados el ordenador, mejor. Menos virus se colarán en él.   Falso         Es suficiente con un antivirus que esté activo y actualizado para que sea capaz de detectar las últimas amenazas que circulan por Internet.

Los únicos ordenadores que no se ven afectados por virus son los de Apple, por eso los fabricantes de antivirus no desarrollan herramientas de seguridad para los dispositivos de esa marca.  Falso

Es una falsa leyenda. Los virus también afectan al sistema operativo de Apple. Por este motivo, debe mantenerse actualizado y protegido de la misma forma que en ordenadores Windows o con otro sistema operativo.

Las imágenes son de los pocos archivos que, a día de hoy, se pueden abrir con tranquilidad ya que no contienen virus.   Falso       Las imágenes, al igual que otro tipo de archivo, pueden ser manipuladas para que incluyan algún tipo de malware, de tal forma que cuando un usuario intente visualizarla, el virus se ejecutará e infectará el dispositivo

Cambiar la contraseña de tu WiFi periódicamente evita completamente que cualquier intruso se conecte a tu red.  Falso      Tener una contraseña para conectarte a la red WiFi no es suficiente. Otras medidas que debes aplicar son: modificar los datos por defecto de acceso al router, asegurarte de que se está usando el protocolo de seguridad WPA o WPA2, y comprobar que la contraseña de acceso utilizada es segura.

Si un anuncio publicado en una página de compra-venta online contiene faltas de ortografía ten por seguro que es un fraude.  Falso      No necesariamente. Aunque una de las pistas que nos puede hacer dudar sobre la veracidad de un determinado anuncio es la redacción y ortografía, por sí sola, no resulta ser una evidencia determinante.

Si tienes configurados correctamente los niveles de privacidad en tus perfiles de redes sociales, puedes publicar con total tranquilidad lo que te apetezca.  Falso    Cada vez que publicamos algo en una red social perdemos el control sobre ese contenido. Aunque lo borremos, quedará como mínimo registrado en los servidores de la red social y cualquiera que lo haya visto puede haber hecho uso de esa información, ya sea difundiéndola o copiándola.

Debemos valorar qué queremos publicar, especialmente teniendo en cuenta nuestra configuración de la privacidad y en consecuencia quién podrá ver toda esa información.

Un virus podría colarse en tu ordenador simplemente visitando una página.  Verdadero

Los fallos de los navegadores son muy utilizados por los delincuentes para infectar los equipos. Si tu navegador no es seguro (está desactualizado) puede bastar con acceder a una página maliciosa para que –sin que te des cuenta- se descargue un virus. ¿Cómo puedes evitar este tipo de problemas? Por un lado, teniendo actualizado el navegador para corregir sus agujeros de seguridad. Por otro, limitando en la medida de lo posible el acceso solo a páginas de confianza. En este caso los analizadores de páginas web son útiles para conocer si una página es fiable o no

Ayuda a evitar que los virus lleguen a tu PC

Puedes tomar varias medidas preventivas para ayudar a proteger tu equipo contra virus y otras amenazas.

• Usa una aplicación antimalware. Instalar una aplicación antimalware y mantenerla actualizada puede ayudarte a defender tu PC de virus y otro malware (software malintencionado). Las aplicaciones antimalware detectan virus, spyware y otro malware que intente entrar en el correo electrónico, el sistema operativo o los archivos. Todos los días pueden aparecer amenazas nuevas; por lo tanto, consulta frecuentemente las actualizaciones del sitio web del fabricante de antimalware.
  
  Windows Defender es un software antimalware gratuito que se incluye con Windows y se puede actualizar automáticamente a través de Windows Update.
• No abras mensajes de correo electrónico de remitentes desconocidos o datos adjuntos de correo electrónico que no reconozcas, tampoco des tu dirección de correo o usuario a un sitio fuera del área de trabajo que te pida para registrarte.  Muchos virus se adjuntan a los mensajes de correo electrónico y se propagan en cuanto se abre el archivo adjunto. Es mejor no abrir ningún archivo adjunto a menos que se trate de algo que estás esperando.
• Usa un bloqueador de elementos emergentes con el navegador de Internet. Las ventanas emergentes son pequeñas ventanas del navegador que aparecen encima del sitio que estás viendo. A pesar de que la mayoría están creadas por anunciantes, también pueden contener un código malintencionado o inseguro. Un bloqueador de elementos emergentes puede evitar que aparezcan algunas o todas estas ventanas. El bloqueador de elementos emergentes de Windows Internet Explorer está activado de manera predeterminada. Para obtener más información, consulta Cambiar la configuración de seguridad y privacidad de Internet Explorer.
• Si usas Internet Explorer, comprueba que el filtro SmartScreen está activado. El filtro SmartScreen de Internet Explorer ayuda a protegerte contra ataques de suplantación de identidad y malware advirtiéndote en caso de que un sitio web o una ubicación de descargas se hayan registrado como no seguros. Para obtener más información, consulta Filtro SmartScreen: preguntas más frecuentes.
• Presta atención a las notificaciones de Windows SmartScreen. Ten cuidado cuando ejecutes aplicaciones no reconocidas descargadas de Internet. Las aplicaciones no reconocidas tienen más probabilidades de ser inseguras. Cuando descargas y ejecutas una aplicación de Internet, SmartScreen usa la información sobre la reputación de la aplicación para advertirte si la aplicación no es conocida y puede ser maliciosa.

• Mantén Windows actualizado. Periódicamente, Microsoft publica actualizaciones de seguridad especiales que pueden ayudarte a proteger tu PC. Estas actualizaciones pueden evitar virus y otros ataques malintencionados mediante el cierre de posibles carencias de seguridad.
  
  Puedes activar Windows Update para asegurarte de que Windows recibe estas actualizaciones de forma automática. 
• Usa un firewall. Firewall de Windows u otra aplicación de firewall pueden notificarte acerca de actividades sospechosas si un virus o un gusano intenta conectarse a tu PC. También bloquea virus, gusanos y hackers que intentan descargar aplicaciones potencialmente peligrosas en tu PC.
• Usa la configuración de privacidad de tu navegador de Internet. Algunos sitios web podrían intentar usar tu información personal para el envío de publicidad dirigida, fraudes y robos de identidad.
  
  Si usas Internet Explorer, puedes ajustar tu configuración de privacidad o restaurar la configuración predeterminada cuando lo desees. Para obtener más información, consulta Cambiar la configuración de seguridad y privacidad de Internet Explorer.
• Asegúrate de que el Control de cuentas de usuario (UAC) está activado. Cuando se vayan a realizar cambios en el equipo que requieran permiso del administrador, UAC te avisa y te da la oportunidad de aprobar el cambio. UAC puede ayudar a evitar que los virus realicen cambios no deseados. Para abrir UAC, desliza rápidamente el dedo desde el borde derecho de la pantalla y pulsa en Buscar. (Si usas un ratón, sitúa el puntero en la esquina superior derecha de la pantalla, mueve el puntero hacia abajo y haz clic en Buscar). Escribe uac en el cuadro de búsqueda y, a continuación, pulsa o haz clic en Cambiar configuración de Control de cuentas de usuario.
• Borra la memoria caché de Internet y el historial de exploración. La mayoría de los navegadores almacenan información sobre los sitios web que visitas y la información que proporciones, como el nombre y la dirección. Si bien puede ser útil tener estos datos almacenados en tu PC, es posible que alguna vez quieras eliminar parte de estos o todos (por ejemplo, cuando usas un equipo público y no quieres dejar información personal allí). Para obtener más información, consulta Eliminar el historial de exploración.

 404 total views,  2 views today