1. “ LA IMPORTANCIA DEL
FACTOR HUMANO EN LA
SEGURIDAD INFORMÁTICA”.
Presenta:
Acosta Herrera Ana Paula
Herrera Trujillo Bethsabe
Mayo 2016
2. ÍNDICE
I. Introducción
II. El factor humano en la seguridad informática
I. Funciones y responsabilidades de los empleados y directivos
III. Ingeniería social
I. Principales técnicas de ingeniería social
II. Cómo evitar ser victimas de ingeniería social
III. Ejemplos de ingeniería social
IV. Conclusión
V. Bibliografías.
2
3. INTRODUCCIÓN
• La Seguridad de la Información es cualquier medida
adoptada por una organización que trate de evitar que se
ejecuten operaciones no deseadas ni autorizadas sobre
un sistema o red informática
• Conllevar daños sobre la información
• Comprometer la confidencialidad.
• Disminuir el rendimiento.
• Bloquear el acceso de usuarios autorizados al sistema.
3
4. NORMA ISO/IEC 17799
• “Preservación de su confidencialidad, su integridad y su
disponibilidad”.
• La información constituye un recurso que en muchos
casos no se valora adecuadamente por su intangibilidad.
• Las medidas de seguridad no influyen en la productividad
del sistema.
4
5. EL FACTOR HUMANO EN LA SEGURIDAD
DE LA INFORMACIÓN
• En la implantación de unas adecuadas
medidas de Seguridad se contemplan
aspectos técnicos, organizativos, y legales.
• Más del 75 % de los problemas a la
seguridad se producen por fallos en la
configuración de los equipos o por un mal
uso del personal de la propia organización.
Antivirus, cortafuegos,
IDS, uso de firma
electrónica, legislación
vigente…
Los riesgos de la seguridad de una empresa son
mas altos a nivel interno que externo.
5
6. • Una empresa u
organización puede ser
responsable por los actos
de sus empleados, pueden
acarrear importantes
sanciones económicas
• Envíos de comunicaciones
comerciales no solicitadas (spam)
• Cesiones no autorizadas de datos de
carácter personal
• Delitos contra la propiedad
intelectual
• Delitos informáticos como el ataque a
otros equipos desde la propia red de
la empresa, realización de estafas
electrónicas...
• Descarga de herramientas de hacking
• Envió a terceros de información
confidencial de la empresa
6
7. “SI PIENSAS QUE LA TECNOLOGÍA PUEDE RESOLVER TUS
PROBLEMAS DE SEGURIDAD, ENTONCES NO ENTIENDES EL
PROBLEMA Y NO ENTIENDES LA TECNOLOGÍA” – BRUCE SCHEINER
• A falta de una clara normativa, se han dictado sentencias
a favor de unos y otros, empresarios y trabajadores,
avalando en unos casos despidos por abuso de Internet y
rechazándolos en otros.
• la implantación de un Sistema de Gestión de Seguridad
de la Información debería considerar el factor humano
como uno de sus elementos clave
7
8. FUNCIONES Y RESPONSABILIDADES DE
LOS EMPLEADOS Y DIRECTIVOS
• La organización debe adoptar las medidas necesarias
para que estas personas conozcan las normas de
seguridad que afecten al desarrollo de sus funciones
respecto a la utilización de las herramientas informáticas
y su acatamiento a las mismas, así́ como las
consecuencias en que pudiera incurrir cada usuario en
caso de incumplimiento.
8
9. Técnicos
responsables del
mantenimiento de los
equipos y de la red
informática.
Directivos Personal externo
empresas de servicios
que tienen acceso a los
recursos informáticos
de la organización.
9
10. • Cada usuario del sistema debería conocer y aceptar estas
normas, haciéndose responsable de los daños y perjuicios
que pudiera causar debido a su falta de cumplimiento
diligente. Asimismo, se deberían dar a conocer cuales serían
las medidas disciplinarias adoptadas por la organización en
caso de incumplimiento. Por supuesto, todas estas normas
deberían ser transmitidas con total transparencia.
10
11. INGENIERIA SOCIAL
• Arte de manipular personas para eludir los sistemas de seguridad.
Obtención de
información
Acceso a un
sistema no
autorizado
Robo de un
activo
• Una técnica de hackeo utilizada para sustraer información a
otras personas teniendo como base la interacción social, de
esta manera la victima no se da cuenta de como o cuando
dio toda la información necesaria.
11
12. “EL USUARIO ES EL ESLABÓN MÁS DÉBIL”.
• Una fase de acercamiento para ganarse la confianza del
usuario, haciéndose pasar por un integrante de la
administración, de la compañía o del círculo o un cliente,
proveedor, etc.
• Una fase de alerta, para desestabilizar al usuario y
observar la velocidad de su respuesta. Por ejemplo, éste
podría ser un pretexto de seguridad o una situación de
emergencia;
12
13. • Una distracción, es decir, una frase o una situación que
tranquiliza al usuario y evita que se concentre en el alerta.
Ésta podría ser un agradecimiento que indique que todo
ha vuelto a la normalidad, una frase hecha o, en caso de
que sea mediante correo electrónico o de una página
Web, la redirección a la página Web de la compañía.
• La ingeniería social apela a las características psicológicas
humanas como la curiosidad, el miedo o la confianza.
13
14. PRINCIPALES FORMAS DE ATAQUE
• Las formas usadas a nivel físico son:
• Ataque por teléfono.
• Ataque vía internet. Los ataques más comunes son vía correo
electrónico
• Dumpster Diving o Trashing
• Ataque vía correo postal.
• Ataque cara a cara.
14
15. • Por otro lado, existen entornos psicológicos y sociales
que pueden influir en que un ataque de ingeniería
social sea exitoso. Algunos de ellos, son:
• “Exploit de familiaridad”. Táctica en que el atacante
aprovecha la confianza que la gente tiene en sus
amigos y familiares
• Crear una situación hostil. El ser humano siempre
procura alejarse de aquellos que parecen estar locos o
enojados, o en todo caso, salir de su camino lo antes
posible
15
16. CÓMO EVITAR SER VICTIMAS
• Nunca divulgar información sensible con desconocidos o en lugares públicos
• Si se sospecha que alguien intenta realizar un engaño, hay que exigir se
identifique
• Implementar un conjunto de políticas de seguridad en la organización que
minimice las acciones de riesgo.
• Efectuar controles de seguridad física
• Realizar rutinariamente auditorías y pentest usando Ingeniería Social para
detectar huecos de seguridad de esta naturaleza.
16
17. • Llevar a cabo programas de concientización sobre la
seguridad de la información.
• averigüe la identidad de la otra persona al solicitar
información precisa (apellido, nombre, compañía,
número telefónico);
• si es posible, verifique la información proporcionada;
• pregúntese qué importancia tiene la información
requerida.
17
18. EJEMPLOS DE INGENIERIA SOCIAL.
• Recibir un mensaje por e-mail, donde el remitente es el
gerente o alguien en nombre del departamento de
soporte de tu banco. En el mensaje dice que el servicio de
Internet Banking está presentando algún problema y que
tal problema puede ser corregido si ejecutas la aplicación
que está adjunto al mensaje.
18
19. • Recibir un mensaje de e-mail, diciendo que tu computadora está
infectada por un virus.
El mensaje sugiere que instales una herramienta disponible en un
sitio web de Internet para eliminar el virus de tu computadora. La
función real de esta herramienta no es eliminar un virus, sino
permitir que alguien tenga acceso a tu computadora y a todos los
datos almacenados.
19
20. • Un desconocido llama a tu casa y dice ser del soporte
técnico de tu proveedor de internet.
En esta comunicación te dice que tu conexión con
internet está presentando algún problema y, entonces, te
pide tu contraseña para corregirlo.
20
22. CONCLUSIÓN.
• Después de realizar esta investigación podemos concluir que definitivamente la
seguridad informática es muy importante y la mayor parte del tiempo ni siquiera
nos percatamos del peligro que corremos mientras navegamos en las redes y
publicamos información personal. Como ya fue explicado anteriormente la
“ingeniería social” la cual es conocida como el arte de manipular personas para
eludir los sistemas de seguridad, se sustenta de personas como nosotros, los
usuarios y a la vez sus víctimas. Consideramos que es de extrema importancia
fomentar más las medidas de seguridad establecidas para no ser víctimas ya sea por
vía telefónica, vía internet, cara a cara, vía correo postal, etc. Por nuestra propia
seguridad y por la de nuestros familiares, amigos, hijos, menores, y de todos
nuestros seres queridos debemos dar a conocer porque es importante la seguridad
informática y que es lo que debemos de hacer para mantenernos seguros y fuera de
peligro ya que hoy en día se maneja gran cantidad de información personal y
muchas veces nos estamos poniendo en riesgo nosotros mismos sin darnos cuenta.
22
23. BIBLIOGRAFÍAS.
• .Pérez.(2014). “Las técnicas de Ingeniería Social Evolucionaron, Presta Atención!”. Recuperado en abril
2016 de: http://www.welivesecurity.com/la-es/2014/05/21/tecnicas-ingenieria-social-evolucionaron-
presta-atencion/
• A.Arbelaez.(2014). "Ingeniería Social: Hackeo Silencioso”. Recuperado en abril 2016 de:
http://www.enter.co/guias/tecnoguias-para-empresas/ingenieria-social-el-hackeo-silencioso/
• S.a(2016). “Ingeniería Social”. Recuperado en abril 2016 de: http://es.ccm.net/contents/25-ingenieria-
social
• Gomez.A.(sf). “La Importancia del Factor Humano en la Seguridad Informática”. Recuperado en abril
2016 de: http://www.edisa.com/wp-
content/uploads/2014/08/La_importancia_del_factor_humano_en_la_Seguridad_Informatica.pdf
• REVISTA .SEGURIDAD, DEFENSA DIGITAL. J.Sandoval.(2015). “Ingeniería Social: Corrompiendo la Mente
Humana”. Recuperado en abril 2016 de: http://revista.seguridad.unam.mx/numero-
10/ingenier%C3%AD-social-corrompiendo-la-mente-humana
• J.Chacón. (2015). “Seguridad Informática: Factor Humano”. Recuperado en abril 2016 de:
http://revistaentoas.com/seguridad-informatica-factor-humano-principios/
23