Este documento presenta una introducción a los conceptos de seguridad informática y seguridad de la información, destacando que la seguridad de la información incluye medidas técnicas, organizativas y legales para proteger la confidencialidad, integridad y disponibilidad de la información de una organización, mientras que la seguridad informática se enfoca en medidas técnicas. También describe riesgos a la seguridad cuando se usan redes sociales, como vulnerabilidad psicológica, pocas destrezas tecnológicas, y descon
VOLUMEN 1 COLECCION PRODUCCION BOVINA . SERIE SANIDAD ANIMAL
Riesgos ciberseguridad redes sociales
1. I.Seguridad
Seguridad informática versus Seguridad de la
información
Seguridad en el uso de redes sociales
Algunos conceptos y algunos consejos
Dra. Elisabeth Benítez
Escuela de Medios Audiovisuales. Dpto de Comunicación Social
Universidad de Los Andes
2. ADVERTENCIA
Este material educativo no pretende ser ni vagamente un material que profundice
en el área de la seguridad de la información, no obstante, el objetivo planteado es
que el participante comprenda la importancia de la seguridad como proceso dado
que en el accionar profesional en las redes en el rol de Community Manager se
va a manejar información, es decir, datos ( sensibles, confidenciales, que
requieren de ser confiables e integra).en tráfico permanente a través de medios
electrónicos
Por tanto, es imprescindible que se comprenda la utilidad de las normas jurídicas
existentes tanto como de las normas de conducta. Políticas y buenas prácticas,
así como de los procesos, medidas, y acciones de prevención que constituyan el
Sistema de Gestión de Seguridad de la Información de una empresa o marca y
que deben ser asumidas por el Community Manager, en su actividad profesional
en los medios digitales.
3. Seguridad informática vs. Seguridad de la información
• La Seguridad de la Información se puede definir como
conjunto de medidas técnicas, organizativas y legales
que permiten a la organización asegurar la
confidencialidad, integridad y disponibilidad de su
sistema de información
.
• La seguridad informática consiste en la implantación de
un conjunto de medidas técnicas destinadas a
preservar la confidencialidad, la integridad y la
disponibilidad de la información, pudiendo, además,
abarcar otras propiedades, como la autenticidad, la
responsabilidad, la fiabilidad y el no repudio. (ISO IEC
2005)
4. Seguridad informática vs. Seguridad de la información
Seguridad de
la información
Seguridad
informática
Riesgos organizacional, operacional y
físicos
• Ausencia de normas y políticas
• Errores humanos
• Actos deliberados
• Insuficientes medidas
• Comportamiento equivocado
Vulnerabilidad y amenazas
• Virus
• Spam
• Robo de Contraseñas
• Ingeniería Social
5. Seguridad informática vs. Seguridad de la información
SEGURIDAD DE LA INFORMACIÓN
ANALISIS DE
RIESGOS
NORMATIVAS PLAN
SEGURIDAD INFORMÁTICA
CONFIGURACION
SEGURA
TECNICAS DE
PROTECCIÓN
AUDITORIA DE
EVENTOS
Nivel
estratégico
Nivel
Táctico
PREVENCIÓN
6. La Seguridad de la información como Proceso
Seguridad de la Información
3 Pilares
Medidas técnicas
Medidas
procedimentales
Medidas Sociales
Concientización
Educación
Entrenamiento
Prácticas
seguras
7. Seguridad de la información como proceso ISO17799 UE
Adquisición,
desarrollo y
mantenimiento de
sistemas
Gestión de
comunicaciones y
operaciones
Gestión de
comunidad del
negocio
Seguridad del recurso
humano
Seguridad Física del
entorno
Conformidad y Apego
Gestión de incidentes de
Seguridad de la
Información
Clasificación y control de
archivos
Control de accesos
Aspectos organizativos de
la seguridad
Políticas de Seguridad
Niveles
Operativo
Táctico
Estratégico
Seguridad Organizativa
Seguridad lógica
Seguridad Física
Seguridad Legal
8. Seguridad de la información como proceso
Toda organización, en el área de Seguridad de la Organización debe
plantearse un Sistema de Gestión de la Seguridad de la Información
(SGSI), por tanto toda actividad que implique el uso de tecnologías y
el manejo de información ( datos) debe hacerlo.
El objetivo de un SGSI es proteger la información y para ello lo
primero que debe hacer es identificar los 'activos de información'
que deben ser protegidos y en qué grado.
Luego debe aplicarse el plan PDCA ('PLAN – DO – CHECK – ACT'), es
decir Planificar, Hacer, Verificar, Actuar y volver a repetir el ciclo.
PLANIFICAR
PLAN
HACER
DO
VERIFICAR
CHECK
ACTUAR
ACT
MEJORAS CONTINUAS
9. II. Riesgos a la Seguridad de la
Información con el uso de redes
sociales
11. ¿Qué
tienen en
común?
Sra Mari 66
Prof. Jubilada
Usa internet
para leer las
noticias, se
comunica con
sus hijos
Annie 27
Prof. de Yoga
Se
promociona
por Instagram
Daniel 20
Estudiante de
artes y
medios
audiovisuales
Lic. González
56
Funcionario
público
Usa internet.
Noticias,
negocios ,
ocio
Jacobo 42
Experto en redes
Trabajador free
lance
Desarrolla
software
Luci 17
Solo utiliza
teléfono
inteligente
por las redes
sociales
Mirian 29
Secretaria
Está
hiperconectada.
Usa internet para
Trabajo, Ocio,
Redes,
transacciones
bancarias
Liz 35
Community
Manager
14. Un ataque informático consiste en aprovechar alguna
debilidad o falla (vulnerabilidad) en el software, en el
hardware e incluso en las personas que forman parte
de un ambiente informático a fin de obtener un
beneficio, por lo general de índole económico,
causando un efecto negativo en la seguridad del
sistema que luego repercute directamente en los
activos de la organización
El factor humano es el
eslabón más débil de la
ecuación
15. INGENIERIA SOCIAL
Técnicas de manipulación psicológicas y habilidades sociales,
mediante las cuales un sujeto obtiene información de índole
confidencial del propietario legítimo de la misma, todo esto con
la finalidad de emplear ésta para acceder a un sistema o tener
privilegios en éste de forma tal que puedan facilitarse la comisión
de actos delictivos que perjudiquen o expongan a las personas o
a las instituciones a riegos o abusos.
16. Va en una bipartita
clasificación de pasiva y/o
activa ó agresiva en la cual
el tema tecnológico viene
inscrito al uso de estas
técnicas para violentar
Suplantación de
personalidad
El chantaje o extorsión
La despersonalización
Presión psicológica.
INGENIERIA SOCIAL
19. Plantea el uso de las redes sociales cuando
estamos acostumbrados a compartir
información sensible en círculos cercanos de
interés: familiares, amigos, sociales,
profesionales, etc., en los cuales mediando la
comunicación permanente solemos ver
desdibujada la línea que divide la información
que podemos y aquella que no debemos
compartir o que debería colocarse dentro de lo
que para cada uno es “confidencial”. Esto
incluye no solamente, datos y contraseñas,
sino que va hasta el punto de abarcar las
fechas de nuestras vacaciones, datos de
domicilio, practicas comunes y hasta las
fotografías de los hijos.
VULNERABILIDAD PSICOLÓGICA
20. Esto quiere decir, que el manejo elemental o básico de
nuestras comunicaciones a través de internet debería ser
trascendido hacia el conocimiento de capas y protocolos
de comunicaciones por internet a fin de verificar la
calidad de los portales a los cuales nos conectamos entre
otras cosas más.
VULNERABILIDAD POR POCA DESTREZA EN EL
MANEJO TECNOLÓGICO
21. PISHING, BISHING BAITING, CAMBIAZO, SUPLANTACIÓN
DE LA IDENTIDAD
Son solo algunas de las técnicas más empleadas para sustraer los
datos e información confidencial empleadas en la Ingeniería Social.
Es importante no menospreciar los riesgos a los que nos vemos
expuestos permanentemente e informarse acerca de cómo
protegerse.
VULNERABILIDAD POR EL DESCONOCIMIENTO DE
LAS TECNICAS BASICAS DE INGENIERIA SOCIAL
22. Acrónimo en inglés de las palabras malicious y software, es
decir, código malicioso. Son archivos con fines dañinos que,
al infectar una computadora, realizan diversas acciones,
como el robo de información, el control del sistema o la
captura de contraseñas.
Virus, gusanos y troyanos; son las variantes más conocidas en
este campo. A partir de estrategias de Ingeniería Social, los
desarrolladores de malware suelen utilizar las redes sociales
para propagar los códigos maliciosos
MALWARE COMO RESULTADO DE LA INGENIERIA
SOCIAL
23. Consiste en el robo de información personal y/o
financiera del usuario, a través de la falsificación
de un ente de confianza.
Es frecuentemente realizado a través del correo
electrónico y sitios web duplicados, aunque
puede realizarse por otros medios.
PISHING COMO RESULTADO DE LA INGENIERIA
SOCIAL
24. En el uso diario de las redes sociales, los usuarios suben a la web
diversos datos de índole personal que pueden ser de utilidad para los
atacantes. El robo de información en redes sociales se relaciona
directamente con el robo de identidad, uno de los delitos informáticos
que más ha crecido en los últimos años.
Los dos vectores de ataque más importantes para el robo de
información son:
• Ingeniería Social: se busca el contacto directo con el usuario víctima,
extrayendo información a través de la comunicación, la “amistad” o
cualquier comunicación que permita la red social.
• Información pública: una mala configuración de las redes sociales
puede permitir que información de índole personal esté accesible
más allá de lo que el usuario desearía o le sería conveniente para su
seguridad, por lo que personas malintencionadas podrían acceder a
dicha información.
EL ROBO DE INFRMACIÓN (DATOS) COMO
RESULTADO DE LA INGENIERIA SOCIAL
25. Esto incluye personalidades de influencia, social, política,
artística, cuentas de promoción y venta de productos,
cuentas de promoción, innovación y emprendimiento de
productos, cuentas de sujetos – referencia en cualquier
campo de interés en un lugar determinado que por el
numero de seguidores son un botín apetecible.
VULNERABILIDAD POR MANEJAR CUENTAS DE
IMPACTO
27. METODOS DELICTIVOS
1. Intervenciones a la
reputación
Descontextualización o uso
fragmentado y malicioso de
contenidos, la violación y uso
indebido de datos
publicados, el empleo de la
identidad digital de personas
vivas o fallecidas y las
críticas e injurias a través de
los medios digitales y/o
redes sociales.
28. METODOS DELICTIVOS
2. Intervenciones a la
seguridad
Denegación de un servicio, o
bloqueo que hace inaccesible
un servicio al usuario legítimo,
intervención o violación de
comunicaciones mediante un
rastreador de puertos; ataques
de replay dónde una
transmisión es fraudulenta y
maliciosamente retardada, el
ataque de fuerza bruta
mediante el cual se interceptan
las claves de acceso del usuario
legitimo.
29. METODOS DELICTIVOS
3. Intervenciones a
la legalidad
Delitos contra la confidencialidad e integridad de datos,
falsificación y fraudes contra el patrimonio, pornografía
infantil, violaciones a los derechos de autor, la propiedad
intelectual y los derechos afines y conexos, delitos contra
la convivencia comunitaria nacional e internacional:
incitación al odio, incitación a la discriminación, apología
del terrorismo, entre otros.
30. MEDIDAS
¿Qué podemos hacer ?
La legislación penal vigente en el país castiga con prisión de
hasta doce años los delitos de Usurpación de la identidad, y
también castiga la falsificación de nombres, marcas, dibujos
industriales y obras del ingenio.
La acción penal frente a estos delitos procede por la vía de
la denuncia ante los organismos competentes.
Legalmente
Denuncia
31. MEDIDAS
¿Qué podemos hacer ?
El Código Penal contempla
el delito de usurpación de la
identidad en el Artículo 319
y expresa: “Todo aquel que
(…) lograre apropiarse de
documentos oficiales para
usurpar una identidad
distinta a la suya, sufrirá
pena de prisión de seis años
a doce años”
Por otro lado el 337 y 338: plantean como
delitos la falsificación expresando: “ (…) la
falsificación o alteración de los nombres,
marcas o signos distintivos de las obras del
ingenio o de los productos de una industria” (
art.337) , y la venta de obras y productos
falsificados, estableciendo que: “ ( …) la
venta o cualquier otra manera de
circulación, de obras del ingenio o productos
de cualquiera industria con nombres, marcas
o signos distintivos falsificados o alterados, o
con nombres, marcas o signos distintivos
capaces de inducir en error al comprador
respecto de su origen o calidad” ( art.338)
32. USURPACIÓN DE LA IDENTIDAD
¿Qué podemos hacer ?
En las redes
sociales
DENUNCIA
https://ayuda.linkedin.com/app/answe
rs/detail/a_id/30432/related/1
https://help.instagram.com/contact/63
6276399721841
https://help.instagram.com/contact/63
6276399721841
https://support.twitter.com/forms/imp
ersonation
https://www.facebook.com/help/www
/263149623790594/
33. Sí sus datos son violados en las
redes sociales
Recuerde que aunque pareciera excesiva la cantidad de información que se
requiere en algunas de las redes para la denuncia debes asumir suministrarla para
agilizar los procesos de eliminación de las violaciones.
De ser posible realiza las denuncias en idioma español e inglés.
Mantente en contacto sólo con los responsables de las redes sociales donde ha
sido efectuada la violación y permanece atento a los correos electrónicos de
verificación de tu identidad.
Cuenta con toda la información legal referente a los documentos legales como
registros de marca, patentes etc. al momento de realizar la denuncia.
Además es importante que todos los datos que suministres posean el sustento
legal necesario para que proceda la eliminación de la violación o del contenido
nocivo para tu marca.
Finalmente, es importante reportar las violaciones y alertar al mismo tiempo a los
seguidores mediante otras cuentas o en los espacios de comunicación tales como:
correo electrónico, páginas web personales o portales oficiales de la marca.
Recuerda, todos los pasos realizados para la denuncia y restitución de tu identidad
o de la identidad de tu marca son elemento de interés para respaldar la denuncia
que efectúes por vía penal ante los organismos competentes en Venezuela.
35. • Tenga instalado y actualizado un antivirus
• No ejecute programas que provengan de fuentes desconocidas
• Configure adecuadamente los programas que interaccionan con el exterior
(navegadores, lectores de correo, programas de IRC, mensajería instantánea,
etc.,) para que no ejecuten automáticamente programas desconocidos.
• Envíe documentos en formatos seguros ( .jpg, .png..doc,.pdf etc.,) no utilice
html.
• Nadie debe pedirle la clave de acceso de sus cuentas de correo, la sola
solicitud es ya sospechosa.
• Copie las URL directamente en el Navegador.
• Si una dirección comienza con https, eso sólo garantiza que la información
viaja por la red codificada, no dice nada acerca de la autenticidad del origen
• Si utiliza computadores compartidos debe borrar siempre el historial de
navegación.
• Haga frecuentemente copias de seguridad de todos sus archivos, respalde en
memorias extraíbles y en la nube.
• Utilice frecuentemente detectores de programas espías como SPYBOT.
• Utilice claves seguras, no las comparta, no las guarde en su computador, no
las recicle para diferentes sitios.
• Si se conecta a una WIFI (pública o privada) mantenga cuidado con sus claves
• Sí es privada prevea la autenticación bidireccional