SlideShare una empresa de Scribd logo

Ingenieria Social & Importancia del Factor Humano en La Seguridad

B
BethsabeHerreraTrujillo

Trabajo sobre la ingenieria social y el factor humano en la seguridad, maneras de evitar ser victimas y medidas de seguridad.

Derecho
1 de 11
Descargar para leer sin conexión
UNIVERSIDAD AUTÓNOMA DE BAJA CALIFORNIA FACULTAD DE DERECHO TRABAJO DE INVESTIGACIÓN “LA IMPORTANCIA DEL FACTOR HUMANO EN LA SEGURIDAD INFORMATICA” Presenta: ACOSTA HERRERA ANA PAULA HERRERA TRUJILLO BETHSABE PROFESOR MARTINEZ ALCARAZ ABELARDO TIJUANA BAJA CALIFORNIA ABRIL 2016
Importancia del Factor Humano en la Seguridad Informática. 2 ÍNDICE 1. Introducción ..........................................................................................3 2. El factor humano en la seguridad informática ..................................... 4 2.1.Funciones y responsabilidades de los empleados y directivos.......5 3. Ingeniería Social.. .................................................................................6 3.1.Principales técnicas (formas de ataque) de Ingeniería Social. ......7 3.2.Como evitar ser víctimas Ingeniería Social. ...................................8 4. Ejemplos de Ingeniería Social...............................................................9 5. Conclusión ..........................................................................................10 6. Bibliografías. .......................................................................................11
Importancia del Factor Humano en la Seguridad Informática. 3 INTRODUCCIÓN Podríamos entender dentro del contexto general de la Seguridad de la Información a cualquier medida adoptada por una organización que trate de evitar que se ejecuten operaciones no deseadas ni autorizadas sobre un sistema o red informática, cuyos efectos puedan  Conllevar daños sobre la información  Comprometer la confidencialidad.  Disminuir el rendimiento.  Bloquear el acceso de usuarios autorizados al sistema. Por su parte, la norma ISO/IEC 17799 define la Seguridad de la Información en un sentido amplio como la “preservación de su confidencialidad, su integridad y su disponibilidad”. La información constituye un recurso que en muchos casos no se valora adecuadamente por su intangibilidad (cosa que no ocurre con los equipos informáticos, la documentación o las aplicaciones) y, además, las medidas de seguridad no influyen en la productividad del sistema, sino, más bien, al contrario, podrían disminuir su rendimiento e incrementar los gastos necesarios para su explotación y mantenimiento, por lo que las organizaciones son reticentes a dedicar recursos a esta tarea.
Importancia del Factor Humano en la Seguridad Informática. 4 EL FACTOR HUMANO EN LA SEGURIDAD DE LA INFORMACIÓN Siempre lo dicen los analistas expertos en seguridad informática y pocas veces se los escucha: los riesgos a la seguridad de una empresa son más altos a nivel interno que a nivel externo. La implantación de unas adecuadas medidas de Seguridad de la Información exige contemplar aspectos técnicos (antivirus, cortafuegos, IDS...), organizativos (planes y procedimientos) y legales (cumplimiento de la legislación vigentes sobre protección de datos, uso de la firma electrónica, propiedad intelectual, etc.). No obstante, en muchas ocasiones se presta muy poca atención a la importancia del factor humano en la seguridad informática. Según varios estudios publicados, más del 75 % de los problemas inherentes a la seguridad se producen por fallos en la configuración de los equipos o por un mal uso por parte del personal de la propia organización. Además, hay que tener en cuenta que una empresa u organización puede ser responsable subsidiara por los actos de sus empleados, que en nuestro país pueden acarrear importantes sanciones económicas, teniendo en cuenta la legislación vigente (LOPD, LSSICE, Código Penal...):  Envíos de comunicaciones comerciales no solicitadas (spam), que puede acarrear una multa de hasta 150.000 euros, al incumplir la LSSICE.  Cesiones no autorizadas de datos de carácter personal, con multas de hasta 600.000 euros, al incumplir con los preceptos de la LOPD.  Delitos contra la propiedad intelectual, si se instalan y utilizan programas de intercambio de ficheros P2P (como Kazaa, eMule...).  Delitos informáticos como el ataque a otros equipos desde la propia red de la empresa, realización de estafas electrónicas...  Descarga de herramientas de hacking, acceso a pornografía o a contenidos ilegales en el país (Websites racistas o de grupos xenófobos o terroristas).  Envío a terceros de información confidencial de la empresa. Los principales expertos en materia de Seguridad Informática ya nos han alertado estos últimos años sobre la necesidad de contemplar el factor humano como uno de los más importantes a la hora de implantar un Sistema de Gestión de Seguridad de la Información. Así, en palabras de Kevin Mitnick, uno de los hackers más famosos de la historia, “usted puede tener la mejor tecnología, firewalls, sistemas de detección de ataques, dispositivos biométricos, etc. Lo único que se necesita es una llamada a un empleado desprevenido e ingresan sin más. Tienen todo en sus manos.”. El propio experto en criptografía y seguridad Bruce Scheneir llegaba a afirmar en uno de sus últimos libros, Secrets and Lies (Verdades y Mentiras) que “...si piensas
Importancia del Factor Humano en la Seguridad Informática. 5 que la tecnología puede resolver tus problemas de seguridad, entonces no entiendes el problema y no entiendes la tecnología”. Por otra parte, en estos últimos años se han incrementado de forma significativa los conflictos legales sobre la debida utilización de Internet y el correo electrónico y, a falta de una clara normativa, se han dictado sentencias a favor de unos y otros, empresarios y trabajadores, avalando en unos casos despidos por abuso de Internet y rechazándolos en otros. Por todo ello, la implantación de un Sistema de Gestión de Seguridad de la Información debería considerar el factor humano como uno de sus elementos clave, contemplando aspectos como la adecuada formación y sensibilización de los empleados, la implicación de los responsables y directivos, la aprobación de un Reglamento Interno sobre el uso de la Informática e Internet en la organización, etc. FUNCIONES Y RESPONSABILIDADES DE LOS EMPLEADOS Y DIRECTIVOS Las funciones y obligaciones de cada una de las distintas personas que tienen acceso a los datos y a los servicios del Sistema de Información de una organización deberían estar claramente definidas. Asimismo, la organización debería adoptar las medidas necesarias para que estas personas conozcan las normas de seguridad que afecten al desarrollo de sus funciones y obligaciones respecto a la utilización de los servicios y herramientas informáticas y su acatamiento a las mismas, así como las consecuencias en que pudiera incurrir cada usuario en caso de incumplimiento. Debemos tener en cuenta que estas medidas afectan a los distintos colectivos que pueden tener acceso a los servicios del Sistema de Información de la organización: Administradores de la red informática. Desarrolladores de aplicaciones. Técnicos responsables del mantenimiento de los equipos y de la red informática. Usuarios finales del sistema. Directivos. Personal externo: empresas de servicios que tienen acceso a los recursos informáticos de la organización. Etc. Por todo ello, sería recomendable quela organización elaborase un Reglamento Interno sobre Seguridad Informática, Utilización deInternet y Protección de Datos de Carácter Personal, que tendría su base jurídica en el entorno 2. normativo existente en España y la Unión Europea: la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD); el Real Decreto 994/1999, de 11 dejunio, por el que se aprueba el Reglamento deMedidas de Seguridad de los Ficheros automatizados que contengan Datos de Carácter Personal; la Ley de Servicios de la Sociedad de laInformación (LSSI); el nuevo Código Penal, quecontempla nuevos tipos de delitos informáticosy contra la propiedad intelectual; la Ley Generalde Telecomunicaciones (LGT); etc. Este Reglamento Interno debería ser consensuado con los representantes de los em- pleados y el Departamento de
Importancia del Factor Humano en la Seguridad Informática. 6 Recursos Humanos de la organización, estar autorizado por la Dirección y divulgado entre los empleados con acceso a los recursos informáticos. Cada usuario del sistema debería conocer y aceptar estas normas, haciéndose responsable de los daños y perjuicios que pudiera causar debido a su falta de cumplimiento diligente. Asimismo, se deberían dar a conocer cuáles serían las medidas disciplinarias adoptadas por la organización en caso de incumplimiento. Por supuesto, todas estas normas deberían ser transmitidas con total transparencia a las personas que se incorporan a la organización y que puedan tener acceso a sus recursos informáticos. Asimismo, los empleados con acceso a datos sensibles deberían firmar en sus contratos cláusulas de confidencialidad y de cumplimiento de determinadas normas básicas de seguridad informática y en materia de protección de datos de carácter personal. INGENIERIA SOCIAL El término "ingeniería social" hace referencia al arte de manipular personas para eludir los sistemas de seguridad. Éstas contemplan entre otras cosas: la obtención de información, el acceso a un sistema o la ejecución de una actividad más elaborada (como el robo de un activo), pudiendo ser o no del interés de la persona objetivo. Es una técnica de hackeo utilizada para sustraer información a otras personas teniendo como base la interacción social, de tal manera que la persona vulnerada no se dé cuenta cómo o cuándo dio todos los datos necesarios para terminar siendo la víctima de un ataque informático. La Ingeniería Social se sustenta en un sencillo principio: “el usuario es el eslabón más débil”. Los atacantes de la ingeniería social usan la fuerza persuasiva y se aprovechan de la inocencia del usuario haciéndose pasar por un compañero de trabajo, un técnico o un administrador, etc. En general, los métodos de la ingeniería social están organizados de la siguiente manera:  Una fase de acercamiento para ganarse la confianza del usuario, haciéndose pasar por un integrante de la administración, de la compañía o del círculo o un cliente, proveedor, etc.
Importancia del Factor Humano en la Seguridad Informática. 7  Una fase de alerta, para desestabilizar al usuario y observar la velocidad de su respuesta. Por ejemplo, éste podría ser un pretexto de seguridad o una situación de emergencia;  Una distracción, es decir, una frase o una situación que tranquiliza al usuario y evita que se concentre en el alerta. Ésta podría ser un agradecimiento que indique que todo ha vuelto a la normalidad, una frase hecha o, en caso de que sea mediante correo electrónico o de una página Web, la redirección a la página Web de la compañía. Así, la ingeniería social termina convirtiéndose en el arte del aprovechamiento de las circunstancias intencionales y azarosas, pues apela a las características psicológicas humanas como la curiosidad, el miedo o la confianza, las cuales ocasionan que las personas no reaccionen siempre de la misma manera. PRINCIPALES FORMAS DE ATAQUE Las amenazas de ingeniería social son peores que el malware más intrusivo, ya que es más difícil protegerse frente a ellas. ¿El motivo? El objetivo es usted, no simplemente su sistema. Las formas de ataque son muy variadas y dependen de la imaginación del atacante y sus intereses. En general, los ataques de Ingeniería Social actúan en dos niveles: el físico y el psicosocial. El primero describe los recursos y medios a través de los cuales se llevará a cabo el ataque, y el segundo es el método con el que se engañará a la víctima. Las formas usadas a nivel físico son:  Ataque por teléfono. Es la forma más persistente de Ingeniería Social. En ésta el perpetrador realiza una llamada telefónica a la víctima haciéndose pasar por alguien más, como un técnico de soporte o un empleado de la misma organización. Es un modo muy efectivo, pues las expresiones del rostro no son reveladas y lo único que se requiere es un teléfono.  Ataque vía internet. Los ataques más comunes son vía correo electrónico (obteniendo información a través de un phishing o infectando el equipo de la víctima con malware), web (haciendo llenar a la persona objetivo un formulario falso) o inclusive conversando con personas específicas en salas de chat, servicios de mensajería o foros.  Dumpster Diving o Trashing (zambullida en la basura). Consiste en buscar información relevante en la basura-
Importancia del Factor Humano en la Seguridad Informática. 8  Ataque vía correo postal. Uno de los ataques en el que la víctima se siente más segura, principalmente por la fiabilidad del correo postal. El perpetrador envía correo falso a la víctima, tomando como patrón alguna suscripción de una revista, cupones de descuento, etc. Una vez que diseña la propuesta para hacerla atractiva, se envía a la víctima, quien si todo sale bien, responderá al apartado postal del atacante con todos sus datos.  Ataque cara a cara. El método más eficiente, pero a la vez el más difícil de realizar. El perpetrador requiere tener una gran habilidad social y extensos conocimientos para poder manejar adecuadamente cualquier situación que se le presente. Las personas más susceptibles suelen ser las más “inocentes”, por lo que no es un gran reto para el atacante cumplir su objetivo si elige bien a su víctima. Por otro lado, existen entornos psicológicos y sociales que pueden influir en que un ataque de ingeniería social sea exitoso. Algunos de ellos, son:  “Exploit de familiaridad”. Táctica en que el atacante aprovecha la confianza que la gente tiene en sus amigos y familiares, haciéndose pasar por cualquiera de ellos. Un ejemplo claro de esto ocurre cuando un conocido llega a una fiesta con uno de sus amigos. En una situación normal nadie dudaría de que ese individuo pudiera no ser de confianza. Pero ¿de verdad es de fiar alguien a quien jamás hemos tratado?  Crear una situación hostil. El ser humano siempre procura alejarse de aquellos que parecen estar locos o enojados, o en todo caso, salir de su camino lo antes posible. Crear una situación hostil justo antes de un punto de control en el que hay vigilantes, provoca el suficiente estrés para no revisar al intruso o responder sus preguntas. COMO EVITAR SER VICTIMAS  Nunca divulgar información sensible con desconocidos o en lugares públicos (como redes sociales, anuncios, páginas web, etc.).  Si se sospecha que alguien intenta realizar un engaño, hay que exigir se identifique y tratar de revertir la situación intentando obtener la mayor cantidad de información del sospechoso.  Implementar un conjunto de políticas de seguridad en la organización que minimice las acciones de riesgo.  Efectuar controles de seguridad física para reducir el peligro inherente a las personas.  Realizar rutinariamente auditorías y pentest usando Ingeniería Social para detectar huecos de seguridad de esta naturaleza.
Importancia del Factor Humano en la Seguridad Informática. 9  Llevar a cabo programas de concientización sobre la seguridad de la información.  averigüe la identidad de la otra persona al solicitar información precisa (apellido, nombre, compañía, número telefónico);  si es posible, verifique la información proporcionada;  pregúntese qué importancia tiene la información requerida. EJEMPLOS DE INGENIERIA SOCIAL.  Recibir un mensaje por e-mail, donde el remitente es el gerente o alguien en nombre del departamento de soporte de tu banco. En el mensaje dice que el servicio de Internet Banking está presentando algún problema y que tal problema puede ser corregido si ejecutas la aplicación que está adjunto al mensaje. La ejecución de esta aplicación presenta una pantalla análoga a la que usted utiliza para tener acceso a la cuenta bancaria, esperando que usted teclee su contraseña. En verdad, esta aplicación está preparada para robar tu contraseña de acceso a la cuenta bancaria y enviarla al atacante.  Recibir un mensaje de e-mail, diciendo que tu computadora está infectada por un virus. El mensaje sugiere que instales una herramienta disponible en un sitio web de Internet para eliminar el virus de tu computadora. La función real de esta herramienta no es eliminar un virus, sino permitir que alguien tenga acceso a tu computadora y a todos los datos almacenados.  Un desconocido llama a tu casa y dice ser del soporte técnico de tu proveedor de internet. En esta comunicacion te dice que tu conexión con internet está presentando algún problema y, entonces, te pide tu contraseña para corregirlo. Si le entregas tu contraseña, este supuesto técnico podrá realizar una infinidad de actividades maliciosas, utilizando tu cuenta de acceso internet y, por lo tanto, relacionando tales actividades con tu nombre.  Mediante una llamada telefónica alguien se hace pasar por nuestra compañía telefónica, nos pregunta si estamos contentos con el servicio recibido, nos dice que confirmemos nuestro domicilio para verificar que están hablando realmente con el titular de la línea. Llegan a decirnos que para comprobar que son quien realmente dicen no
Importancia del Factor Humano en la Seguridad Informática. 10 tenemos más que darles el número de nuestro D.N.I y ellos nos contestarán con la letra del mismo (esta letra se obtiene simplemente con una fórmula que asocia y relaciona el número del DNI O NIF con la letra a través de la suma de los diferentes dígitos que contiene) o sea algo que todos podríamos hacer con esa fórmula. CONCLUSIÓN. Después de realizar esta investigación podemos concluir que definitivamente la seguridad informática es muy importante y la mayor parte del tiempo ni siquiera nos percatamos del peligro que corremos mientras navegamos en las redes y publicamos información personal. Como ya fue explicado anteriormente la “ingeniería social” la cual es conocida como el arte de manipular personas para eludir los sistemas de seguridad, se sustenta de personas como nosotros, los usuarios y a la vez sus víctimas. Consideramos que es de extrema importancia fomentar más las medidas de seguridad establecidas para no ser víctimas ya sea por vía telefónica, vía internet, cara a cara, vía correo postal, etc. Por nuestra propia seguridad y por la de nuestros familiares, amigos, hijos, menores, y de todos nuestros seres queridos debemos dar a conocer porque es importante la seguridad informática y que es lo que debemos de hacer para mantenernos seguros y fuera de peligro ya que hoy en día se maneja gran cantidad de información personal y muchas veces nos estamos poniendo en riesgo nosotros mismos sin darnos cuenta.
Importancia del Factor Humano en la Seguridad Informática. 11 BIBLIOGRAFÍAS. I.Pérez.(2014). “Las técnicas de Ingeniería Social Evolucionaron, Presta Atención!”. Recuperado en abril 2016 de: http://www.welivesecurity.com/la- es/2014/05/21/tecnicas-ingenieria-social-evolucionaron-presta-atencion/ A.Arbelaez.(2014). "Ingeniería Social: Hackeo Silencioso”. Recuperado en abril 2016 de: http://www.enter.co/guias/tecnoguias-para-empresas/ingenieria-social-el- hackeo-silencioso/ S.a(2016). “Ingeniería Social”. Recuperado en abril 2016 de: http://es.ccm.net/contents/25-ingenieria-social Gomez.A.(sf). “La Importancia del Factor Humano en la Seguridad Informática”. Recuperado en abril 2016 de: http://www.edisa.com/wp- content/uploads/2014/08/La_importancia_del_factor_humano_en_la_Seguridad_In formatica.pdf REVISTA .SEGURIDAD, DEFENSA DIGITAL. J.Sandoval.(2015). “Ingeniería Social: Corrompiendo la Mente Humana”. Recuperado en abril 2016 de: http://revista.seguridad.unam.mx/numero-10/ingenier%C3%AD-social- corrompiendo-la-mente-humana J.Chacón. (2015). “Seguridad Informática: Factor Humano”. Recuperado en abril 2016 de: http://revistaentoas.com/seguridad-informatica-factor-humano-principios/

Recomendados

Tic sl
Tic slTic sl
Tic slMelissa1528
 
La importancia-del-factor-humano-en-la-seguridad-informática
La importancia-del-factor-humano-en-la-seguridad-informáticaLa importancia-del-factor-humano-en-la-seguridad-informática
La importancia-del-factor-humano-en-la-seguridad-informáticaChavira15
 
Tics
TicsTics
TicsOliver Lozano
 
4 aspectos legales y eticos de la seguridad informatica.pptm
4 aspectos legales y eticos de la seguridad informatica.pptm4 aspectos legales y eticos de la seguridad informatica.pptm
4 aspectos legales y eticos de la seguridad informatica.pptmNITZARINDANI98
 
Aspectos legales y éticos de la seguridad informática
Aspectos legales y éticos de la seguridad informáticaAspectos legales y éticos de la seguridad informática
Aspectos legales y éticos de la seguridad informáticaangeles alvarez
 
Aspectos legales y eticos de la seguridad informatica
Aspectos legales y eticos de la seguridad informaticaAspectos legales y eticos de la seguridad informatica
Aspectos legales y eticos de la seguridad informaticajulissa tapia
 
Seguridad y privacidad en los sistemas informaticos
Seguridad y privacidad en los sistemas informaticosSeguridad y privacidad en los sistemas informaticos
Seguridad y privacidad en los sistemas informaticosFatima Velazquez Gonzalez
 
4 aspectos legales y eticos de la seguridad informatica.pptm
4 aspectos legales y eticos de la seguridad informatica.pptm4 aspectos legales y eticos de la seguridad informatica.pptm
4 aspectos legales y eticos de la seguridad informatica.pptmKeila Jaimes
 

Recomendados

Tic sl
Tic slTic sl
Tic slMelissa1528
 
La importancia-del-factor-humano-en-la-seguridad-informática
La importancia-del-factor-humano-en-la-seguridad-informáticaLa importancia-del-factor-humano-en-la-seguridad-informática
La importancia-del-factor-humano-en-la-seguridad-informáticaChavira15
 
Tics
TicsTics
TicsOliver Lozano
 
4 aspectos legales y eticos de la seguridad informatica.pptm
4 aspectos legales y eticos de la seguridad informatica.pptm4 aspectos legales y eticos de la seguridad informatica.pptm
4 aspectos legales y eticos de la seguridad informatica.pptmNITZARINDANI98
 
Aspectos legales y éticos de la seguridad informática
Aspectos legales y éticos de la seguridad informáticaAspectos legales y éticos de la seguridad informática
Aspectos legales y éticos de la seguridad informáticaangeles alvarez
 
Aspectos legales y eticos de la seguridad informatica
Aspectos legales y eticos de la seguridad informaticaAspectos legales y eticos de la seguridad informatica
Aspectos legales y eticos de la seguridad informaticajulissa tapia
 
Seguridad y privacidad en los sistemas informaticos
Seguridad y privacidad en los sistemas informaticosSeguridad y privacidad en los sistemas informaticos
Seguridad y privacidad en los sistemas informaticosFatima Velazquez Gonzalez
 
4 aspectos legales y eticos de la seguridad informatica.pptm
4 aspectos legales y eticos de la seguridad informatica.pptm4 aspectos legales y eticos de la seguridad informatica.pptm
4 aspectos legales y eticos de la seguridad informatica.pptmKeila Jaimes
 
4. aspectos legales y éticos de la seguridad informática
4. aspectos legales y éticos de la seguridad informática4. aspectos legales y éticos de la seguridad informática
4. aspectos legales y éticos de la seguridad informáticaaudreyalmanza
 
Presentacion 4.aspectos lgales y eticos de la seguridad informatica
Presentacion 4.aspectos lgales y eticos de la seguridad informaticaPresentacion 4.aspectos lgales y eticos de la seguridad informatica
Presentacion 4.aspectos lgales y eticos de la seguridad informaticareyna cristina rojas salgado
 
Diapositiva jorge
Diapositiva jorgeDiapositiva jorge
Diapositiva jorgejorge
 
Solangebonillaortiz
SolangebonillaortizSolangebonillaortiz
Solangebonillaortizsolangebonillaortiz
 
Diario de la primera unidad 1
Diario de la primera unidad 1Diario de la primera unidad 1
Diario de la primera unidad 1Vocecita Mova
 
Jorje y edison
Jorje y edisonJorje y edison
Jorje y edisonEdison Vargas
 
5 implicacion es estica en torno al acceso y uso.pptm
5 implicacion es estica en torno al acceso y uso.pptm5 implicacion es estica en torno al acceso y uso.pptm
5 implicacion es estica en torno al acceso y uso.pptmNITZARINDANI98
 
Ley de Protección de Datos Personales en Posesión de Particulares
Ley de Protección de Datos Personales en Posesión de Particulares Ley de Protección de Datos Personales en Posesión de Particulares
Ley de Protección de Datos Personales en Posesión de Particulares Nordstern Techonologies
 
La importancia del factor humano en la seguridad informática
La importancia del factor humano en la seguridad informáticaLa importancia del factor humano en la seguridad informática
La importancia del factor humano en la seguridad informáticaUniversidad Autónoma de Baja California
 
Delitos informatico jorge
Delitos informatico jorgeDelitos informatico jorge
Delitos informatico jorgeJOCHY123
 
seguridad informática
seguridad informática seguridad informática
seguridad informáticaSeba Pinilla
 
La seguridad digital y que medidas toma el estado para los hackers
La seguridad digital y que medidas toma el estado para los hackersLa seguridad digital y que medidas toma el estado para los hackers
La seguridad digital y que medidas toma el estado para los hackersRicardo Silva
 
Seguridad fisica y logica
Seguridad fisica y logicaSeguridad fisica y logica
Seguridad fisica y logicaLisby Mora
 
Seguridad fisica y logica (1)
Seguridad fisica y logica (1)Seguridad fisica y logica (1)
Seguridad fisica y logica (1)Lisby Mora
 
DELITOS INFORMATICOS
DELITOS INFORMATICOSDELITOS INFORMATICOS
DELITOS INFORMATICOSEdison Vargas
 
Bna precetacion de segurirdad informatica
Bna precetacion de segurirdad informaticaBna precetacion de segurirdad informatica
Bna precetacion de segurirdad informaticaCamargo Valeria
 
Ensayo auditoria de sistemas
Ensayo auditoria de sistemasEnsayo auditoria de sistemas
Ensayo auditoria de sistemasSiudy Infante Brito
 
Acta seguridad
Acta seguridadActa seguridad
Acta seguridadKarla Pamela Galán Santana
 
Acta seguridad Lecturas
Acta seguridad LecturasActa seguridad Lecturas
Acta seguridad Lecturasvirydiana tellez hernandez
 
Acta seguridad
Acta seguridadActa seguridad
Acta seguridadMajo Lopez
 
Acta seguridad
Acta seguridadActa seguridad
Acta seguridadMajo Lopez
 
Acta seguridad
Acta seguridadActa seguridad
Acta seguridadjulissa casas
 

Más contenido relacionado

La actualidad más candente

4. aspectos legales y éticos de la seguridad informática
4. aspectos legales y éticos de la seguridad informática4. aspectos legales y éticos de la seguridad informática
4. aspectos legales y éticos de la seguridad informáticaaudreyalmanza
 
Presentacion 4.aspectos lgales y eticos de la seguridad informatica
Presentacion 4.aspectos lgales y eticos de la seguridad informaticaPresentacion 4.aspectos lgales y eticos de la seguridad informatica
Presentacion 4.aspectos lgales y eticos de la seguridad informaticareyna cristina rojas salgado
 
Diapositiva jorge
Diapositiva jorgeDiapositiva jorge
Diapositiva jorgejorge
 
Diario de la primera unidad 1
Diario de la primera unidad 1Diario de la primera unidad 1
Diario de la primera unidad 1Vocecita Mova
 
5 implicacion es estica en torno al acceso y uso.pptm
5 implicacion es estica en torno al acceso y uso.pptm5 implicacion es estica en torno al acceso y uso.pptm
5 implicacion es estica en torno al acceso y uso.pptmNITZARINDANI98
 
Ley de Protección de Datos Personales en Posesión de Particulares
Ley de Protección de Datos Personales en Posesión de Particulares Ley de Protección de Datos Personales en Posesión de Particulares
Ley de Protección de Datos Personales en Posesión de Particulares Nordstern Techonologies
 

La actualidad más candente (8)

4. aspectos legales y éticos de la seguridad informática
4. aspectos legales y éticos de la seguridad informática4. aspectos legales y éticos de la seguridad informática
4. aspectos legales y éticos de la seguridad informática
 
Presentacion 4.aspectos lgales y eticos de la seguridad informatica
Presentacion 4.aspectos lgales y eticos de la seguridad informaticaPresentacion 4.aspectos lgales y eticos de la seguridad informatica
Presentacion 4.aspectos lgales y eticos de la seguridad informatica
 
Diapositiva jorge
Diapositiva jorgeDiapositiva jorge
Diapositiva jorge
 
Solangebonillaortiz
SolangebonillaortizSolangebonillaortiz
Solangebonillaortiz
 
Diario de la primera unidad 1
Diario de la primera unidad 1Diario de la primera unidad 1
Diario de la primera unidad 1
 
Jorje y edison
Jorje y edisonJorje y edison
Jorje y edison
 
5 implicacion es estica en torno al acceso y uso.pptm
5 implicacion es estica en torno al acceso y uso.pptm5 implicacion es estica en torno al acceso y uso.pptm
5 implicacion es estica en torno al acceso y uso.pptm
 
Ley de Protección de Datos Personales en Posesión de Particulares
Ley de Protección de Datos Personales en Posesión de Particulares Ley de Protección de Datos Personales en Posesión de Particulares
Ley de Protección de Datos Personales en Posesión de Particulares
 

Similar a Ingenieria Social & Importancia del Factor Humano en La Seguridad

Delitos informatico jorge
Delitos informatico jorgeDelitos informatico jorge
Delitos informatico jorgeJOCHY123
 
seguridad informática
seguridad informática seguridad informática
seguridad informáticaSeba Pinilla
 
La seguridad digital y que medidas toma el estado para los hackers
La seguridad digital y que medidas toma el estado para los hackersLa seguridad digital y que medidas toma el estado para los hackers
La seguridad digital y que medidas toma el estado para los hackersRicardo Silva
 
Seguridad fisica y logica
Seguridad fisica y logicaSeguridad fisica y logica
Seguridad fisica y logicaLisby Mora
 
Seguridad fisica y logica (1)
Seguridad fisica y logica (1)Seguridad fisica y logica (1)
Seguridad fisica y logica (1)Lisby Mora
 
DELITOS INFORMATICOS
DELITOS INFORMATICOSDELITOS INFORMATICOS
DELITOS INFORMATICOSEdison Vargas
 
Bna precetacion de segurirdad informatica
Bna precetacion de segurirdad informaticaBna precetacion de segurirdad informatica
Bna precetacion de segurirdad informaticaCamargo Valeria
 
Acta seguridad
Acta seguridadActa seguridad
Acta seguridadMajo Lopez
 
Acta seguridad
Acta seguridadActa seguridad
Acta seguridadMajo Lopez
 
Acta seguridad
Acta seguridadActa seguridad
Acta seguridadMajo Lopez
 

Similar a Ingenieria Social & Importancia del Factor Humano en La Seguridad (20)

La importancia del factor humano en la seguridad informática
La importancia del factor humano en la seguridad informáticaLa importancia del factor humano en la seguridad informática
La importancia del factor humano en la seguridad informática
 
Delitos informatico jorge
Delitos informatico jorgeDelitos informatico jorge
Delitos informatico jorge
 
seguridad informática
seguridad informática seguridad informática
seguridad informática
 
La seguridad digital y que medidas toma el estado para los hackers
La seguridad digital y que medidas toma el estado para los hackersLa seguridad digital y que medidas toma el estado para los hackers
La seguridad digital y que medidas toma el estado para los hackers
 
Seguridad fisica y logica
Seguridad fisica y logicaSeguridad fisica y logica
Seguridad fisica y logica
 
Seguridad fisica y logica (1)
Seguridad fisica y logica (1)Seguridad fisica y logica (1)
Seguridad fisica y logica (1)
 
DELITOS INFORMATICOS
DELITOS INFORMATICOSDELITOS INFORMATICOS
DELITOS INFORMATICOS
 
Bna precetacion de segurirdad informatica
Bna precetacion de segurirdad informaticaBna precetacion de segurirdad informatica
Bna precetacion de segurirdad informatica
 
Ensayo auditoria de sistemas
Ensayo auditoria de sistemasEnsayo auditoria de sistemas
Ensayo auditoria de sistemas
 
Acta seguridad
Acta seguridadActa seguridad
Acta seguridad
 
Acta seguridad Lecturas
Acta seguridad LecturasActa seguridad Lecturas
Acta seguridad Lecturas
 
Acta seguridad
Acta seguridadActa seguridad
Acta seguridad
 
Acta seguridad
Acta seguridadActa seguridad
Acta seguridad
 
Acta seguridad
Acta seguridadActa seguridad
Acta seguridad
 
Acta seguridad
Acta seguridadActa seguridad
Acta seguridad
 
Las tics
Las ticsLas tics
Las tics
 
Acta seguridad
Acta seguridadActa seguridad
Acta seguridad
 
Acta seguridad
Acta seguridadActa seguridad
Acta seguridad
 
Seguridad y privacidad
Seguridad y privacidadSeguridad y privacidad
Seguridad y privacidad
 
Acta seguridad
Acta seguridadActa seguridad
Acta seguridad
 

Último

Sistemas jurídicos contemporáneos diapositivas
Sistemas jurídicos contemporáneos diapositivasSistemas jurídicos contemporáneos diapositivas
Sistemas jurídicos contemporáneos diapositivasGvHaideni
 
Apelación de Sentencia Alimentos Roger Alvarado
Apelación de Sentencia Alimentos Roger AlvaradoApelación de Sentencia Alimentos Roger Alvarado
Apelación de Sentencia Alimentos Roger AlvaradoMarioCasimiroAraniba1
 
Lucha por la hegemonía y los cambios en.pptx
Lucha por la hegemonía y los cambios en.pptxLucha por la hegemonía y los cambios en.pptx
Lucha por la hegemonía y los cambios en.pptxantidoxxeo29
 
Penal I Delitos contra la vida Codigo de Honduras.pptx
Penal I Delitos contra la vida Codigo de Honduras.pptxPenal I Delitos contra la vida Codigo de Honduras.pptx
Penal I Delitos contra la vida Codigo de Honduras.pptxJonathanGiriron
 
Conflicto de leyes en el tiempo y en el espacio
Conflicto de leyes en el tiempo y en el espacioConflicto de leyes en el tiempo y en el espacio
Conflicto de leyes en el tiempo y en el espacioEdwinRubio14
 
CONVENIO SOBRE LA ELIMINACIÓN DE LA VIOLENCIA Y EL ACOSO EN EL MUNDO DEL TRAB...
CONVENIO SOBRE LA ELIMINACIÓN DE LA VIOLENCIA Y EL ACOSO EN EL MUNDO DEL TRAB...CONVENIO SOBRE LA ELIMINACIÓN DE LA VIOLENCIA Y EL ACOSO EN EL MUNDO DEL TRAB...
CONVENIO SOBRE LA ELIMINACIÓN DE LA VIOLENCIA Y EL ACOSO EN EL MUNDO DEL TRAB...Baker Publishing Company
 
DERECHO COMERCIAL I - DIAPOSITIVAS (1).pptx
DERECHO COMERCIAL I - DIAPOSITIVAS (1).pptxDERECHO COMERCIAL I - DIAPOSITIVAS (1).pptx
DERECHO COMERCIAL I - DIAPOSITIVAS (1).pptxRosildaToralvaCamacl1
 
M15_U1_S1_UNADM_DERECHO INTERNACIONAL PUBLICO
M15_U1_S1_UNADM_DERECHO INTERNACIONAL PUBLICOM15_U1_S1_UNADM_DERECHO INTERNACIONAL PUBLICO
M15_U1_S1_UNADM_DERECHO INTERNACIONAL PUBLICOMarianaCuevas22
 
LA FAMILIA, LA PROPIEDAD PRIVADA Y EL ESTADO.pptx
LA FAMILIA, LA PROPIEDAD PRIVADA Y EL ESTADO.pptxLA FAMILIA, LA PROPIEDAD PRIVADA Y EL ESTADO.pptx
LA FAMILIA, LA PROPIEDAD PRIVADA Y EL ESTADO.pptxjbernardomaidana
 
Tema 7 LA GUERRA CIVIL (1936-1939).pdf
Tema 7 LA GUERRA CIVIL (1936-1939).pdfTema 7 LA GUERRA CIVIL (1936-1939).pdf
Tema 7 LA GUERRA CIVIL (1936-1939).pdfanagc806
 
El Proceso Penal. Mapa Conceptual de Rosa Aguero
El Proceso Penal. Mapa Conceptual de Rosa AgueroEl Proceso Penal. Mapa Conceptual de Rosa Aguero
El Proceso Penal. Mapa Conceptual de Rosa Aguerofreddymendoza64
 
LEY Y REGLAMENTO 30225 CONTRATACIONES DEL ESTADO.pdf
LEY Y REGLAMENTO 30225 CONTRATACIONES DEL ESTADO.pdfLEY Y REGLAMENTO 30225 CONTRATACIONES DEL ESTADO.pdf
LEY Y REGLAMENTO 30225 CONTRATACIONES DEL ESTADO.pdfssuser20c91d1
 
Mapa Conceptual de Rosa Agüero. Derecho Procesal Penal
Mapa Conceptual de Rosa Agüero. Derecho Procesal PenalMapa Conceptual de Rosa Agüero. Derecho Procesal Penal
Mapa Conceptual de Rosa Agüero. Derecho Procesal Penalbacilos1
 
415277843-DIAPOSITIVAS-ACTO-JURIDICO-ppt.ppt
415277843-DIAPOSITIVAS-ACTO-JURIDICO-ppt.ppt415277843-DIAPOSITIVAS-ACTO-JURIDICO-ppt.ppt
415277843-DIAPOSITIVAS-ACTO-JURIDICO-ppt.pptBRIANJOFFREVELSQUEZH
 
Procesos de jurisdicción voluntaria en Colombia
Procesos de jurisdicción voluntaria en ColombiaProcesos de jurisdicción voluntaria en Colombia
Procesos de jurisdicción voluntaria en Colombiaylbonilla
 
Mapa, El Proceso Penal Principios y garantias.pptx
Mapa, El Proceso Penal Principios y garantias.pptxMapa, El Proceso Penal Principios y garantias.pptx
Mapa, El Proceso Penal Principios y garantias.pptxjuandtorcateusa
 
Modelos de debate, sus elementos, tipos, etc.pptx
Modelos de debate, sus elementos, tipos, etc.pptxModelos de debate, sus elementos, tipos, etc.pptx
Modelos de debate, sus elementos, tipos, etc.pptxAgrandeLucario
 
LAM Nº 13_2014 (Consejo Municipal de Transporte).pdf
LAM Nº 13_2014 (Consejo Municipal de Transporte).pdfLAM Nº 13_2014 (Consejo Municipal de Transporte).pdf
LAM Nº 13_2014 (Consejo Municipal de Transporte).pdfalbinoMamaniCallejas
 
CONTRATO DE COMPRAVENTA CON GARANTÍA HIPOTECARIA.doc
CONTRATO DE COMPRAVENTA CON GARANTÍA HIPOTECARIA.docCONTRATO DE COMPRAVENTA CON GARANTÍA HIPOTECARIA.doc
CONTRATO DE COMPRAVENTA CON GARANTÍA HIPOTECARIA.docJhonnySandonRojjas
 

Último (20)

Sistemas jurídicos contemporáneos diapositivas
Sistemas jurídicos contemporáneos diapositivasSistemas jurídicos contemporáneos diapositivas
Sistemas jurídicos contemporáneos diapositivas
 
Apelación de Sentencia Alimentos Roger Alvarado
Apelación de Sentencia Alimentos Roger AlvaradoApelación de Sentencia Alimentos Roger Alvarado
Apelación de Sentencia Alimentos Roger Alvarado
 
Lucha por la hegemonía y los cambios en.pptx
Lucha por la hegemonía y los cambios en.pptxLucha por la hegemonía y los cambios en.pptx
Lucha por la hegemonía y los cambios en.pptx
 
PRESENTACION HABEAS CORPUS Y HABER.pptx ppt
PRESENTACION HABEAS CORPUS Y HABER.pptx pptPRESENTACION HABEAS CORPUS Y HABER.pptx ppt
PRESENTACION HABEAS CORPUS Y HABER.pptx ppt
 
Penal I Delitos contra la vida Codigo de Honduras.pptx
Penal I Delitos contra la vida Codigo de Honduras.pptxPenal I Delitos contra la vida Codigo de Honduras.pptx
Penal I Delitos contra la vida Codigo de Honduras.pptx
 
Conflicto de leyes en el tiempo y en el espacio
Conflicto de leyes en el tiempo y en el espacioConflicto de leyes en el tiempo y en el espacio
Conflicto de leyes en el tiempo y en el espacio
 
CONVENIO SOBRE LA ELIMINACIÓN DE LA VIOLENCIA Y EL ACOSO EN EL MUNDO DEL TRAB...
CONVENIO SOBRE LA ELIMINACIÓN DE LA VIOLENCIA Y EL ACOSO EN EL MUNDO DEL TRAB...CONVENIO SOBRE LA ELIMINACIÓN DE LA VIOLENCIA Y EL ACOSO EN EL MUNDO DEL TRAB...
CONVENIO SOBRE LA ELIMINACIÓN DE LA VIOLENCIA Y EL ACOSO EN EL MUNDO DEL TRAB...
 
DERECHO COMERCIAL I - DIAPOSITIVAS (1).pptx
DERECHO COMERCIAL I - DIAPOSITIVAS (1).pptxDERECHO COMERCIAL I - DIAPOSITIVAS (1).pptx
DERECHO COMERCIAL I - DIAPOSITIVAS (1).pptx
 
M15_U1_S1_UNADM_DERECHO INTERNACIONAL PUBLICO
M15_U1_S1_UNADM_DERECHO INTERNACIONAL PUBLICOM15_U1_S1_UNADM_DERECHO INTERNACIONAL PUBLICO
M15_U1_S1_UNADM_DERECHO INTERNACIONAL PUBLICO
 
LA FAMILIA, LA PROPIEDAD PRIVADA Y EL ESTADO.pptx
LA FAMILIA, LA PROPIEDAD PRIVADA Y EL ESTADO.pptxLA FAMILIA, LA PROPIEDAD PRIVADA Y EL ESTADO.pptx
LA FAMILIA, LA PROPIEDAD PRIVADA Y EL ESTADO.pptx
 
Tema 7 LA GUERRA CIVIL (1936-1939).pdf
Tema 7 LA GUERRA CIVIL (1936-1939).pdfTema 7 LA GUERRA CIVIL (1936-1939).pdf
Tema 7 LA GUERRA CIVIL (1936-1939).pdf
 
El Proceso Penal. Mapa Conceptual de Rosa Aguero
El Proceso Penal. Mapa Conceptual de Rosa AgueroEl Proceso Penal. Mapa Conceptual de Rosa Aguero
El Proceso Penal. Mapa Conceptual de Rosa Aguero
 
LEY Y REGLAMENTO 30225 CONTRATACIONES DEL ESTADO.pdf
LEY Y REGLAMENTO 30225 CONTRATACIONES DEL ESTADO.pdfLEY Y REGLAMENTO 30225 CONTRATACIONES DEL ESTADO.pdf
LEY Y REGLAMENTO 30225 CONTRATACIONES DEL ESTADO.pdf
 
Mapa Conceptual de Rosa Agüero. Derecho Procesal Penal
Mapa Conceptual de Rosa Agüero. Derecho Procesal PenalMapa Conceptual de Rosa Agüero. Derecho Procesal Penal
Mapa Conceptual de Rosa Agüero. Derecho Procesal Penal
 
415277843-DIAPOSITIVAS-ACTO-JURIDICO-ppt.ppt
415277843-DIAPOSITIVAS-ACTO-JURIDICO-ppt.ppt415277843-DIAPOSITIVAS-ACTO-JURIDICO-ppt.ppt
415277843-DIAPOSITIVAS-ACTO-JURIDICO-ppt.ppt
 
Procesos de jurisdicción voluntaria en Colombia
Procesos de jurisdicción voluntaria en ColombiaProcesos de jurisdicción voluntaria en Colombia
Procesos de jurisdicción voluntaria en Colombia
 
Mapa, El Proceso Penal Principios y garantias.pptx
Mapa, El Proceso Penal Principios y garantias.pptxMapa, El Proceso Penal Principios y garantias.pptx
Mapa, El Proceso Penal Principios y garantias.pptx
 
Modelos de debate, sus elementos, tipos, etc.pptx
Modelos de debate, sus elementos, tipos, etc.pptxModelos de debate, sus elementos, tipos, etc.pptx
Modelos de debate, sus elementos, tipos, etc.pptx
 
LAM Nº 13_2014 (Consejo Municipal de Transporte).pdf
LAM Nº 13_2014 (Consejo Municipal de Transporte).pdfLAM Nº 13_2014 (Consejo Municipal de Transporte).pdf
LAM Nº 13_2014 (Consejo Municipal de Transporte).pdf
 
CONTRATO DE COMPRAVENTA CON GARANTÍA HIPOTECARIA.doc
CONTRATO DE COMPRAVENTA CON GARANTÍA HIPOTECARIA.docCONTRATO DE COMPRAVENTA CON GARANTÍA HIPOTECARIA.doc
CONTRATO DE COMPRAVENTA CON GARANTÍA HIPOTECARIA.doc
 

Ingenieria Social & Importancia del Factor Humano en La Seguridad

  • 1. UNIVERSIDAD AUTÓNOMA DE BAJA CALIFORNIA FACULTAD DE DERECHO TRABAJO DE INVESTIGACIÓN “LA IMPORTANCIA DEL FACTOR HUMANO EN LA SEGURIDAD INFORMATICA” Presenta: ACOSTA HERRERA ANA PAULA HERRERA TRUJILLO BETHSABE PROFESOR MARTINEZ ALCARAZ ABELARDO TIJUANA BAJA CALIFORNIA ABRIL 2016
  • 2. Importancia del Factor Humano en la Seguridad Informática. 2 ÍNDICE 1. Introducción ..........................................................................................3 2. El factor humano en la seguridad informática ..................................... 4 2.1.Funciones y responsabilidades de los empleados y directivos.......5 3. Ingeniería Social.. .................................................................................6 3.1.Principales técnicas (formas de ataque) de Ingeniería Social. ......7 3.2.Como evitar ser víctimas Ingeniería Social. ...................................8 4. Ejemplos de Ingeniería Social...............................................................9 5. Conclusión ..........................................................................................10 6. Bibliografías. .......................................................................................11
  • 3. Importancia del Factor Humano en la Seguridad Informática. 3 INTRODUCCIÓN Podríamos entender dentro del contexto general de la Seguridad de la Información a cualquier medida adoptada por una organización que trate de evitar que se ejecuten operaciones no deseadas ni autorizadas sobre un sistema o red informática, cuyos efectos puedan  Conllevar daños sobre la información  Comprometer la confidencialidad.  Disminuir el rendimiento.  Bloquear el acceso de usuarios autorizados al sistema. Por su parte, la norma ISO/IEC 17799 define la Seguridad de la Información en un sentido amplio como la “preservación de su confidencialidad, su integridad y su disponibilidad”. La información constituye un recurso que en muchos casos no se valora adecuadamente por su intangibilidad (cosa que no ocurre con los equipos informáticos, la documentación o las aplicaciones) y, además, las medidas de seguridad no influyen en la productividad del sistema, sino, más bien, al contrario, podrían disminuir su rendimiento e incrementar los gastos necesarios para su explotación y mantenimiento, por lo que las organizaciones son reticentes a dedicar recursos a esta tarea.
  • 4. Importancia del Factor Humano en la Seguridad Informática. 4 EL FACTOR HUMANO EN LA SEGURIDAD DE LA INFORMACIÓN Siempre lo dicen los analistas expertos en seguridad informática y pocas veces se los escucha: los riesgos a la seguridad de una empresa son más altos a nivel interno que a nivel externo. La implantación de unas adecuadas medidas de Seguridad de la Información exige contemplar aspectos técnicos (antivirus, cortafuegos, IDS...), organizativos (planes y procedimientos) y legales (cumplimiento de la legislación vigentes sobre protección de datos, uso de la firma electrónica, propiedad intelectual, etc.). No obstante, en muchas ocasiones se presta muy poca atención a la importancia del factor humano en la seguridad informática. Según varios estudios publicados, más del 75 % de los problemas inherentes a la seguridad se producen por fallos en la configuración de los equipos o por un mal uso por parte del personal de la propia organización. Además, hay que tener en cuenta que una empresa u organización puede ser responsable subsidiara por los actos de sus empleados, que en nuestro país pueden acarrear importantes sanciones económicas, teniendo en cuenta la legislación vigente (LOPD, LSSICE, Código Penal...):  Envíos de comunicaciones comerciales no solicitadas (spam), que puede acarrear una multa de hasta 150.000 euros, al incumplir la LSSICE.  Cesiones no autorizadas de datos de carácter personal, con multas de hasta 600.000 euros, al incumplir con los preceptos de la LOPD.  Delitos contra la propiedad intelectual, si se instalan y utilizan programas de intercambio de ficheros P2P (como Kazaa, eMule...).  Delitos informáticos como el ataque a otros equipos desde la propia red de la empresa, realización de estafas electrónicas...  Descarga de herramientas de hacking, acceso a pornografía o a contenidos ilegales en el país (Websites racistas o de grupos xenófobos o terroristas).  Envío a terceros de información confidencial de la empresa. Los principales expertos en materia de Seguridad Informática ya nos han alertado estos últimos años sobre la necesidad de contemplar el factor humano como uno de los más importantes a la hora de implantar un Sistema de Gestión de Seguridad de la Información. Así, en palabras de Kevin Mitnick, uno de los hackers más famosos de la historia, “usted puede tener la mejor tecnología, firewalls, sistemas de detección de ataques, dispositivos biométricos, etc. Lo único que se necesita es una llamada a un empleado desprevenido e ingresan sin más. Tienen todo en sus manos.”. El propio experto en criptografía y seguridad Bruce Scheneir llegaba a afirmar en uno de sus últimos libros, Secrets and Lies (Verdades y Mentiras) que “...si piensas
  • 5. Importancia del Factor Humano en la Seguridad Informática. 5 que la tecnología puede resolver tus problemas de seguridad, entonces no entiendes el problema y no entiendes la tecnología”. Por otra parte, en estos últimos años se han incrementado de forma significativa los conflictos legales sobre la debida utilización de Internet y el correo electrónico y, a falta de una clara normativa, se han dictado sentencias a favor de unos y otros, empresarios y trabajadores, avalando en unos casos despidos por abuso de Internet y rechazándolos en otros. Por todo ello, la implantación de un Sistema de Gestión de Seguridad de la Información debería considerar el factor humano como uno de sus elementos clave, contemplando aspectos como la adecuada formación y sensibilización de los empleados, la implicación de los responsables y directivos, la aprobación de un Reglamento Interno sobre el uso de la Informática e Internet en la organización, etc. FUNCIONES Y RESPONSABILIDADES DE LOS EMPLEADOS Y DIRECTIVOS Las funciones y obligaciones de cada una de las distintas personas que tienen acceso a los datos y a los servicios del Sistema de Información de una organización deberían estar claramente definidas. Asimismo, la organización debería adoptar las medidas necesarias para que estas personas conozcan las normas de seguridad que afecten al desarrollo de sus funciones y obligaciones respecto a la utilización de los servicios y herramientas informáticas y su acatamiento a las mismas, así como las consecuencias en que pudiera incurrir cada usuario en caso de incumplimiento. Debemos tener en cuenta que estas medidas afectan a los distintos colectivos que pueden tener acceso a los servicios del Sistema de Información de la organización: Administradores de la red informática. Desarrolladores de aplicaciones. Técnicos responsables del mantenimiento de los equipos y de la red informática. Usuarios finales del sistema. Directivos. Personal externo: empresas de servicios que tienen acceso a los recursos informáticos de la organización. Etc. Por todo ello, sería recomendable quela organización elaborase un Reglamento Interno sobre Seguridad Informática, Utilización deInternet y Protección de Datos de Carácter Personal, que tendría su base jurídica en el entorno 2. normativo existente en España y la Unión Europea: la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD); el Real Decreto 994/1999, de 11 dejunio, por el que se aprueba el Reglamento deMedidas de Seguridad de los Ficheros automatizados que contengan Datos de Carácter Personal; la Ley de Servicios de la Sociedad de laInformación (LSSI); el nuevo Código Penal, quecontempla nuevos tipos de delitos informáticosy contra la propiedad intelectual; la Ley Generalde Telecomunicaciones (LGT); etc. Este Reglamento Interno debería ser consensuado con los representantes de los em- pleados y el Departamento de
  • 6. Importancia del Factor Humano en la Seguridad Informática. 6 Recursos Humanos de la organización, estar autorizado por la Dirección y divulgado entre los empleados con acceso a los recursos informáticos. Cada usuario del sistema debería conocer y aceptar estas normas, haciéndose responsable de los daños y perjuicios que pudiera causar debido a su falta de cumplimiento diligente. Asimismo, se deberían dar a conocer cuáles serían las medidas disciplinarias adoptadas por la organización en caso de incumplimiento. Por supuesto, todas estas normas deberían ser transmitidas con total transparencia a las personas que se incorporan a la organización y que puedan tener acceso a sus recursos informáticos. Asimismo, los empleados con acceso a datos sensibles deberían firmar en sus contratos cláusulas de confidencialidad y de cumplimiento de determinadas normas básicas de seguridad informática y en materia de protección de datos de carácter personal. INGENIERIA SOCIAL El término "ingeniería social" hace referencia al arte de manipular personas para eludir los sistemas de seguridad. Éstas contemplan entre otras cosas: la obtención de información, el acceso a un sistema o la ejecución de una actividad más elaborada (como el robo de un activo), pudiendo ser o no del interés de la persona objetivo. Es una técnica de hackeo utilizada para sustraer información a otras personas teniendo como base la interacción social, de tal manera que la persona vulnerada no se dé cuenta cómo o cuándo dio todos los datos necesarios para terminar siendo la víctima de un ataque informático. La Ingeniería Social se sustenta en un sencillo principio: “el usuario es el eslabón más débil”. Los atacantes de la ingeniería social usan la fuerza persuasiva y se aprovechan de la inocencia del usuario haciéndose pasar por un compañero de trabajo, un técnico o un administrador, etc. En general, los métodos de la ingeniería social están organizados de la siguiente manera:  Una fase de acercamiento para ganarse la confianza del usuario, haciéndose pasar por un integrante de la administración, de la compañía o del círculo o un cliente, proveedor, etc.
  • 7. Importancia del Factor Humano en la Seguridad Informática. 7  Una fase de alerta, para desestabilizar al usuario y observar la velocidad de su respuesta. Por ejemplo, éste podría ser un pretexto de seguridad o una situación de emergencia;  Una distracción, es decir, una frase o una situación que tranquiliza al usuario y evita que se concentre en el alerta. Ésta podría ser un agradecimiento que indique que todo ha vuelto a la normalidad, una frase hecha o, en caso de que sea mediante correo electrónico o de una página Web, la redirección a la página Web de la compañía. Así, la ingeniería social termina convirtiéndose en el arte del aprovechamiento de las circunstancias intencionales y azarosas, pues apela a las características psicológicas humanas como la curiosidad, el miedo o la confianza, las cuales ocasionan que las personas no reaccionen siempre de la misma manera. PRINCIPALES FORMAS DE ATAQUE Las amenazas de ingeniería social son peores que el malware más intrusivo, ya que es más difícil protegerse frente a ellas. ¿El motivo? El objetivo es usted, no simplemente su sistema. Las formas de ataque son muy variadas y dependen de la imaginación del atacante y sus intereses. En general, los ataques de Ingeniería Social actúan en dos niveles: el físico y el psicosocial. El primero describe los recursos y medios a través de los cuales se llevará a cabo el ataque, y el segundo es el método con el que se engañará a la víctima. Las formas usadas a nivel físico son:  Ataque por teléfono. Es la forma más persistente de Ingeniería Social. En ésta el perpetrador realiza una llamada telefónica a la víctima haciéndose pasar por alguien más, como un técnico de soporte o un empleado de la misma organización. Es un modo muy efectivo, pues las expresiones del rostro no son reveladas y lo único que se requiere es un teléfono.  Ataque vía internet. Los ataques más comunes son vía correo electrónico (obteniendo información a través de un phishing o infectando el equipo de la víctima con malware), web (haciendo llenar a la persona objetivo un formulario falso) o inclusive conversando con personas específicas en salas de chat, servicios de mensajería o foros.  Dumpster Diving o Trashing (zambullida en la basura). Consiste en buscar información relevante en la basura-
  • 8. Importancia del Factor Humano en la Seguridad Informática. 8  Ataque vía correo postal. Uno de los ataques en el que la víctima se siente más segura, principalmente por la fiabilidad del correo postal. El perpetrador envía correo falso a la víctima, tomando como patrón alguna suscripción de una revista, cupones de descuento, etc. Una vez que diseña la propuesta para hacerla atractiva, se envía a la víctima, quien si todo sale bien, responderá al apartado postal del atacante con todos sus datos.  Ataque cara a cara. El método más eficiente, pero a la vez el más difícil de realizar. El perpetrador requiere tener una gran habilidad social y extensos conocimientos para poder manejar adecuadamente cualquier situación que se le presente. Las personas más susceptibles suelen ser las más “inocentes”, por lo que no es un gran reto para el atacante cumplir su objetivo si elige bien a su víctima. Por otro lado, existen entornos psicológicos y sociales que pueden influir en que un ataque de ingeniería social sea exitoso. Algunos de ellos, son:  “Exploit de familiaridad”. Táctica en que el atacante aprovecha la confianza que la gente tiene en sus amigos y familiares, haciéndose pasar por cualquiera de ellos. Un ejemplo claro de esto ocurre cuando un conocido llega a una fiesta con uno de sus amigos. En una situación normal nadie dudaría de que ese individuo pudiera no ser de confianza. Pero ¿de verdad es de fiar alguien a quien jamás hemos tratado?  Crear una situación hostil. El ser humano siempre procura alejarse de aquellos que parecen estar locos o enojados, o en todo caso, salir de su camino lo antes posible. Crear una situación hostil justo antes de un punto de control en el que hay vigilantes, provoca el suficiente estrés para no revisar al intruso o responder sus preguntas. COMO EVITAR SER VICTIMAS  Nunca divulgar información sensible con desconocidos o en lugares públicos (como redes sociales, anuncios, páginas web, etc.).  Si se sospecha que alguien intenta realizar un engaño, hay que exigir se identifique y tratar de revertir la situación intentando obtener la mayor cantidad de información del sospechoso.  Implementar un conjunto de políticas de seguridad en la organización que minimice las acciones de riesgo.  Efectuar controles de seguridad física para reducir el peligro inherente a las personas.  Realizar rutinariamente auditorías y pentest usando Ingeniería Social para detectar huecos de seguridad de esta naturaleza.
  • 9. Importancia del Factor Humano en la Seguridad Informática. 9  Llevar a cabo programas de concientización sobre la seguridad de la información.  averigüe la identidad de la otra persona al solicitar información precisa (apellido, nombre, compañía, número telefónico);  si es posible, verifique la información proporcionada;  pregúntese qué importancia tiene la información requerida. EJEMPLOS DE INGENIERIA SOCIAL.  Recibir un mensaje por e-mail, donde el remitente es el gerente o alguien en nombre del departamento de soporte de tu banco. En el mensaje dice que el servicio de Internet Banking está presentando algún problema y que tal problema puede ser corregido si ejecutas la aplicación que está adjunto al mensaje. La ejecución de esta aplicación presenta una pantalla análoga a la que usted utiliza para tener acceso a la cuenta bancaria, esperando que usted teclee su contraseña. En verdad, esta aplicación está preparada para robar tu contraseña de acceso a la cuenta bancaria y enviarla al atacante.  Recibir un mensaje de e-mail, diciendo que tu computadora está infectada por un virus. El mensaje sugiere que instales una herramienta disponible en un sitio web de Internet para eliminar el virus de tu computadora. La función real de esta herramienta no es eliminar un virus, sino permitir que alguien tenga acceso a tu computadora y a todos los datos almacenados.  Un desconocido llama a tu casa y dice ser del soporte técnico de tu proveedor de internet. En esta comunicacion te dice que tu conexión con internet está presentando algún problema y, entonces, te pide tu contraseña para corregirlo. Si le entregas tu contraseña, este supuesto técnico podrá realizar una infinidad de actividades maliciosas, utilizando tu cuenta de acceso internet y, por lo tanto, relacionando tales actividades con tu nombre.  Mediante una llamada telefónica alguien se hace pasar por nuestra compañía telefónica, nos pregunta si estamos contentos con el servicio recibido, nos dice que confirmemos nuestro domicilio para verificar que están hablando realmente con el titular de la línea. Llegan a decirnos que para comprobar que son quien realmente dicen no
  • 10. Importancia del Factor Humano en la Seguridad Informática. 10 tenemos más que darles el número de nuestro D.N.I y ellos nos contestarán con la letra del mismo (esta letra se obtiene simplemente con una fórmula que asocia y relaciona el número del DNI O NIF con la letra a través de la suma de los diferentes dígitos que contiene) o sea algo que todos podríamos hacer con esa fórmula. CONCLUSIÓN. Después de realizar esta investigación podemos concluir que definitivamente la seguridad informática es muy importante y la mayor parte del tiempo ni siquiera nos percatamos del peligro que corremos mientras navegamos en las redes y publicamos información personal. Como ya fue explicado anteriormente la “ingeniería social” la cual es conocida como el arte de manipular personas para eludir los sistemas de seguridad, se sustenta de personas como nosotros, los usuarios y a la vez sus víctimas. Consideramos que es de extrema importancia fomentar más las medidas de seguridad establecidas para no ser víctimas ya sea por vía telefónica, vía internet, cara a cara, vía correo postal, etc. Por nuestra propia seguridad y por la de nuestros familiares, amigos, hijos, menores, y de todos nuestros seres queridos debemos dar a conocer porque es importante la seguridad informática y que es lo que debemos de hacer para mantenernos seguros y fuera de peligro ya que hoy en día se maneja gran cantidad de información personal y muchas veces nos estamos poniendo en riesgo nosotros mismos sin darnos cuenta.
  • 11. Importancia del Factor Humano en la Seguridad Informática. 11 BIBLIOGRAFÍAS. I.Pérez.(2014). “Las técnicas de Ingeniería Social Evolucionaron, Presta Atención!”. Recuperado en abril 2016 de: http://www.welivesecurity.com/la- es/2014/05/21/tecnicas-ingenieria-social-evolucionaron-presta-atencion/ A.Arbelaez.(2014). "Ingeniería Social: Hackeo Silencioso”. Recuperado en abril 2016 de: http://www.enter.co/guias/tecnoguias-para-empresas/ingenieria-social-el- hackeo-silencioso/ S.a(2016). “Ingeniería Social”. Recuperado en abril 2016 de: http://es.ccm.net/contents/25-ingenieria-social Gomez.A.(sf). “La Importancia del Factor Humano en la Seguridad Informática”. Recuperado en abril 2016 de: http://www.edisa.com/wp- content/uploads/2014/08/La_importancia_del_factor_humano_en_la_Seguridad_In formatica.pdf REVISTA .SEGURIDAD, DEFENSA DIGITAL. J.Sandoval.(2015). “Ingeniería Social: Corrompiendo la Mente Humana”. Recuperado en abril 2016 de: http://revista.seguridad.unam.mx/numero-10/ingenier%C3%AD-social- corrompiendo-la-mente-humana J.Chacón. (2015). “Seguridad Informática: Factor Humano”. Recuperado en abril 2016 de: http://revistaentoas.com/seguridad-informatica-factor-humano-principios/