Importancia de la valoracion de riesgos

La información necesaria para desarrollar las actividades de nuestro negocio puede verse afectada por diferentes riesgos y amenazas que pueden proceder del interior o el exterior de la organización.

Los riesgos deben identificarse, analizarse, gestionarse y minimizarse, con el fin de mantenerlos en un nivel aceptable por la organización. Cuando los riesgos no son adecuadamente identificados y valorados, puede comprometerse la continuidad del negocio, afectar negativamente la confianza de los clientes y la imagen de la organización.

Es increíble la cantidad de organizaciones que no le prestan la suficiente atención a los aspectos de la seguridad en la tecnología y es labor obligada de quienes nos interesamos por este tema, informar y promover un cambio de perspectiva que tome más en cuenta este tema tan importante, mas aun hoy en día cuando la vinculación de la tecnología en los procesos de la organización son más fuertes y las amenazas son más abundantes y frecuentes.

Evitar en lo posible el uso del usuario administrador en los sistemas operativos, usar contraseñas que cumplan con criterios básicos de robustez, mantener los sistemas operativos y las aplicaciones actualizadas, evitar el uso de configuraciones por defecto en los dispositivos tecnológicos, evitar el uso de memorias portátiles en equipos públicos como cibercafés, evitar el uso de dispositivos inteligentes para dar conexión a Internet, utilizar diferentes contraseñas para diferentes servicios y dispositivos, evitar publicar fotografías que muestren aéreas sensibles de la organización son algunas medidas básicas de obligatorio complimiento que deben ser incluidas en las políticas de seguridad informática de la organización para mitigar los riesgos más comunes a la seguridad de la organización.

En la actualidad las nuevas tecnologías disponibles han cambiado de forma radical la manera en que se hacen los negocios, a la vez que han aumentado los riesgos para las empresas que se exponen a nuevas amenazas, facilitadas y potenciadas por esta misma tecnología.

No toda la información de la que disponemos en la organización tiene el mismo valor ni está sometida a los mismos riesgos, por ello es necesario realizar una valoración adecuada de los riesgos a los cuales están expuestos los activos de información identificados.

La valoración de riesgos debe ser sometida a una continua evaluación para evitar su obsolescencia y mantener altos los valores de riesgo que con el tiempo se pueden hacer poco probables de ocurrir o proteger activos que han perdido valor.

La valoración de los riesgos, al igual que todo el conjunto de medidas de seguridad informática que se implemente en la organización, debe implicar a todos los miembros de la organización, especialmente a la directiva, que es la encargada de conocer y valorar los riesgos, así como de poder gestionar las políticas necesarias para su aplicación.

La correcta valoración de riesgos permite dimensionar las medidas de protección que deben ser aplicadas a un activo de información, además de permitir evaluar la efectividad de las medidas de protección adoptadas.

La gestión de los riesgos a través de las normas y metodologías de la seguridad informática permite mantener la confidencialidad, integridad y disponibilidad de la información ante los usuario de la organización, los clientes y otros interesados.

Al identificar y valorar adecuadamente los riesgos, se posibilita la aplicación de medidas de seguridad informática que permiten reducir el impacto y los daños causados en caso de que se materialicen las amenazas.

Otra de las ventajas de la valoración de riesgos es que se produce una racionalización de los costos debido al ahorro producido por el uso optimo de los recursos destinados a atender los riesgos con mayor valoración y minimizando los gastos ocasionados por los recursos invertidos en la protección de activos de información poco valorados o con riesgos poco probables de ocurrencia.

Una correcta valoración de los riesgos permite a la organización mantener su competitividad en el mercado ya que permite la continuidad del negocio y facilita la recuperación ante cualquier tipo de incidente que se presente.

Involucrar la cultura de la seguridad informática en la organización es uno de los puntos más importantes en la aplicación de cualquier metodología de seguridad, ya que se puede a través de ella concienciar e informar a los empleados y miembros de la empresa para que tomen medidas preventivas que les permita proteger su información profesional, la información de la organización y proteger su información digital en los diferentes medios tecnológicos y redes sociales donde se involucren.

REFERENCIAS

Revista Seguridad de la UNAMCERT. Disponible en https://revista.seguridad.unam.mx/

Taxonomía de soluciones de ciberseguridad. INCIBE. Disponible en https://openlibra.com/es/book/taxonomia-de-soluciones-de-ciberseguridad

Beneficios de metodologias de seguridad en los activos de información

Beneficios para la organización por la implementación de metodologías de seguridad para proteger los activos de información.

En la empresa moderna, la información y los servicios que presta una organización son los elementos vitales para su competitividad y presencia en el negocio, estos elementos deben ser protegidos frente a los riesgos y amenazas que puedan presentarse. Estos elementos mencionados, debido a su relevancia en el funcionamiento del negocio, son los que conforman los activos de información de la organización, y su protección es la principal prioridad de cualquier metodología de seguridad de la información que se aplique.

Es lamentable la resistencia que existen dentro de la organización a la implementación de metodologías de seguridad de la información, en cuanto que las mismas lejos de ayudar a optimizar los procesos de producción de bienes y servicios, le agrega cierto grado de complicación a las operaciones, es por esta razón que es importante definir y exponer claramente a los directivos y miembros de la organización las ventajas y beneficios que aportan a la organización la implantación de medidas que protejan y aseguren los activos de información, con el fin de involucrarlos y motivar en la colaboración y el fiel cumplimiento de las medidas adoptadas. Igualmente se debe informar sobre los riesgos que se corren por el manejo descuidado y la falta de metodologías para asegurar la información vital para el funcionamiento de la empresa.

Los beneficios que conlleva el uso de metodologías de seguridad de la información a los activos de la organización son los siguientes:

1. Permiten minimizar los riesgos a los que se encuentran expuestos los activos de información a niveles aceptables por la organización.
2. Permiten generar una respuesta adecuada ante intentos no autorizados de acceso, modificación, divulgación o destrucción de la información protegida.
3. La aplicación de una metodología de seguridad de la información permite analizar, ordenar, identificar y valorar los activos de información.
4. Se optimizan los costos de la aplicación de medidas de seguridad en función de la valoración de los activos de información protegidos.
5. Al tener un inventario de los activos de información, se puede identificar aquellos que dejan de ser imprescindibles para el funcionamiento de la organización, permitiendo la reducción de costos que su protección injustificada puede acarrear.
6. Facilita la definición de procedimientos para mantener la seguridad de los activos de información.
7. Se protege a los activos de información de amenazas y riesgos que puedan poner en peligro la continuidad del negocio o el nivel de competitividad de la organización.
8. Las medidas de seguridad aplicadas permiten mantener la confidencialidad, integridad y disponibilidad de la información y los servicios prestados por los activos de información a los miembros y clientes de la organización.
9. Se evita el robo y la manipulación de la información vital de la organización por parte de personas no autorizadas.
10. Se evita el riesgo de perdida de información por riesgos físicos como desastres naturales, incendios, vandalismo, o riesgos lógicos como el acceso no autorizado a la información contenida en los activos de información.
11. Se reducen los daños que puedan causar un incidente de seguridad que se presente contra los activos de información.
12. Se evitan riesgos y costos innecesarios por el incumplimiento o violación de legislaciones nacionales o internacionales por el uso ilícito de los activos de información de la organización, por acción u omisión, por parte de miembros internos o personas externas a la organización, lo cual puede acarrear demandas y perjuicios a la imagen corporativa.
13. Se resguarda la imagen corporativa de la organización al brindar a sus clientes y asociados la seguridad de mantener bajo resguardo la información compartida y a disposición los servicios ofrecidos.

REFERENCIAS

Imagen y reputación. Revista de seguridad informática del UNAMCERT. Disponible en https://revista.seguridad.unam.mx/sites/default/files/revistas/pdf/Seguridad_Num16_0.pdf

Los activos de seguridad de la información. Serie de vídeos de INTECO. Disponible en https://www.youtube.com/watch?v=THnQ2FH7NtU

Pensamiento cientifico y seguridad digital

El presente texto es el producto del trabajo final del MOOC Pensamiento cientifico de la UNAM, el cual es un excelente curso donde se aclaran y ventilan la historia y las controversias en los conceptos inherentes al pensamiento cientifico, es un excelente aprendizaje, lo recomiendo, esta disponible en la siguiente direccion:

https://www.coursera.org/learn/ciencia/home/welcome 

La aplicación del pensamiento científico a la vida cotidiana es realmente un trabajo fascinante y productivo, ya que con esta aplicación podemos cerciorarnos que estamos aplicando la alternativa de análisis que ha demostrado dar los resultados más fidedignos en función de su constante autorevisión y la constante aplicación de refutaciones para comprobar la robustez de los argumentos y las hipótesis formuladas.

En el ámbito laboral, la aplicación de un pensamiento coherente y sistémico como lo es el pensamiento científico garantiza la aplicación de una serie de medidas y de revisiones que nos permitirán encontrar la mejor alternativa entre las posibles soluciones, además de darnos la oportunidad de revisar la eficiencia de la aplicación de las medidas adoptadas para su mejoramiento.

En el mundo moderno en el que nos desenvolvemos actualmente es una característica el uso cada vez mas cotidiano de la tecnología, la cual ha demostrado ser una gran ayuda en nuestro trabajo cotidiano y en el desarrollo de nuestras relaciones sociales, agregando una gran facilidad para realizar nuestras comunicaciones y en la búsqueda de información para nuestro aprendizaje y conocimiento.

Este último tópico es muy importante en función del uso cada vez mas frecuente de las herramientas tecnológicas de las que disponemos en la actualidad para las distintas labores cotidianas, pero debemos tener en cuenta que a medida que usamos estas tecnologías, estamos mas expuestos a una serie de peligros que se esconden en el ciberespacio, ese lugar digital, ambiguo, desprotegido que se ubica entre nuestro computador y el sitio donde se encuentra la información a la cual queremos acceder.

Esta serie de peligros que se presentan cuando utilizamos esta serie de tecnologías nos hacen vulnerables a ciertos riesgos que pueden ser aprovechados por personas inescrupulosas que están en la búsqueda constante de nuestros descuidos para beneficio propio, bien sea económicamente, con el robo de nuestra información o inclusive con la suplantación de nuestra identidad para realizar algún tipo de acciones ilícitas que pueden perjudicarnos a nosotros, a nuestras familias o a nuestro trabajo.

En vista de esta situación comprometedora y poco conocida, la he elegido como el tema de la aplicación del pensamiento científico al ámbito profesional y personal de la divulgación y toma de conciencia sobre los peligros que representa el uso de la tecnología sin ningún tipo de conocimiento sobre los riesgos que su uso representa y las medidas preventivas que deben ser tomadas para evitar o disminuir estos riesgos.

La moda actualmente es usar los dispositivos de tecnología, computadores, teléfonos inteligentes, tabletas y otros para realizar nuestra interacción a través de las diferentes redes sociales que están de moda en la actualidad, tales como Twiter, Facebook, WhatsApp y otros sin repararnos a pensar sobre las consecuencias del exceso de exposición de nuestra información en estas redes sociales, desde el punto de vista personal y profesional debemos tener en cuenta que los correos electrónicos que nos llegan a nuestros buzones pueden contener software malicioso o enlaces a sitios que pueden instalar malware en nuestros computadores o teléfonos inteligentes, incluso en mensajes de WhatsApp pueden contener este tipo de peligros incluidos.

La idea de aplicar el pensamiento científico es idear canales de divulgación para informar a los usuarios de la tecnología para que estén enterados de este tipo de riesgos y tomen las medidas mínimas necesarias para evitar ser victima de estos actos ilícitos.

Primeramente se debe pensar en la idea de hacer una analogía de la vida digital con nuestra vida física, en el sentido de no creer todo lo que leemos en las redes sociales, inculcar en los usuarios una interpretación de las informaciones que llegan a través de estos medios, se debe reconocer que el hecho de seguir una moda puede comprometer las decisiones que tomemos en el mundo digital, por ejemplo utilizando aplicaciones altamente vulnerables como WhatsApp por ser la mas usada, en lugar de revisar y decidir que aplicación es la que mejores prestaciones en cuanto a la seguridad que nos ofrezca y decidir usarla.

En cuanto a la analogía con el mundo físico, debemos tener presente que no dejamos la puerta abierta de nuestra casa cuando salimos al trabajo, no dejamos entrar a ningún desconocido a nuestro hogar, si en la calle alguna persona se nos acerca ofreciéndonos algún negocio demasiado tentador para ser verdad, no lo aceptamos. Este tipo de precauciones debemos extrapolarlas hacia nuestro mundo digital, hacia las redes sociales, los correos electrónicos, las aplicaciones que instalamos en nuestros diferentes dispositivos, no creer todo lo que escriben, no instalar aplicaciones simplemente por moda, no ir a los vínculos que nos llegan por correos electrónicos de destinatarios desconocidos.

Debemos pensar cuidadosamente lo que hacemos en nuestra vida digital, tomar decisiones objetivamente en función de informarnos primero antes de actuar, y mas importante aun, promover la divulgación de esta información entre nuestros familiares, amigos y conocidos para que tomen conciencia sobre los grandes riesgos que se corren en el mundo digital por nuestro desconocimiento.

Tal como en la edad media se creía que el sol giraba alrededor del sol, en este mismo sentido hoy en día creemos que estamos seguros en el uso de las tecnologías, hacemos uso de ellas por comentarios y por la moda, en lugar de informarnos adecuadamente sobre su uso. En este sentido es donde podemos usar el pensamiento científico para buscar alternativas para revertir este fenómeno del uso masivo de la tecnología sin el adecuado conocimiento.

Como decía el gran divulgador científico Carl Sagan, “Vivimos en una sociedad dependiente de la ciencia y la tecnología en la que nadie sabe nada de estos temas. Esto constituye una formula segura para el desastre”.

En conclusión, el pensamiento científico nos arma de herramientas que nos permiten ver el mundo desde un punto de vista mas objetivo, tomar mejores decisiones basadas en fundamentos sustentables y discernir siempre sobre el conocimiento establecido en función de buscar siempre la verdad que a final de cuentas, no se garantiza que sea la verdad absoluta. Estas herramientas de razonamiento deben ser utilizadas en nuestro ámbito personal y profesional para protegernos a nosotros mismos, nuestros datos y nuestros seres queridos y conocidos de las amenazas que permanecen latentes en el ciberespacio.

Amenazas a bases de datos

La seguridad informática consiste en asegurar que los recursos del sistema, incluidas las bases de datos, de una organización sean utilizados de la manera en que se decidió, y el acceso y la modificación de la información allí contenida sea posible solo por las personas autorizadas hasta donde dicha autorización lo permita.

Es diseño y la implementación de aplicaciones requiere de ciertos elementos vitales y primordiales para su correcto funcionamiento, entre estos elementos uno de los más importantes son las bases de datos, las cuales brindan la persistencia y permanencia en el tiempo de los datos que es requerida por los sistemas de información.

Al ser las bases de datos un elemento adicional de los sistemas, estas necesitan de cuidados adicionales en cuanto a la seguridad, con el fin de mantener la confidencialidad, integridad y disponibilidad de la información almacenada en estas.

Existen numerosas amenazas que afectan el funcionamiento y representan riesgos para las bases de datos, comprometiendo las mismas. Para poder aplicar medidas efectivas que permitan proteger las bases de datos de los riesgos que representan su utilización, se debe primeramente conocer las diferentes amenazas que las afectan.

Inyección de SQL

La mayoría de aplicaciones web desarrolladas hoy en día hacen uso de una base de datos para ofrecer páginas dinámicas y almacenar información tanto de los usuarios como de la propia herramienta. El uso de este tipo de arquitectura ha traído consigo la aparición de numerosas vulnerabilidades.

Los ataques de inyección SQL implican a un usuario que se aprovecha de vulnerabilidades en aplicaciones web y procedimientos almacenados para proceder a enviar consultas de bases de datos no autorizadas, a menudo con privilegios elevados.

Para determinar si una página es vulnerable a inyecciones SQL, se hace una búsqueda en Google de la siguiente secuencia:

info_page.php?=

Saldrá una lista de páginas posiblemente vulnerables, las cuales tienen una dirección con el siguiente formato:

www.paginavulnerable.com/info.php?=3

Se reemplaza el parámetro al final de la dirección por un apostrofe sencillo, '.

www.paginavulnerable.com/info.php?='

Si responde la página con un error de sintaxis como el que se muestra a continuación, la página probada es vulnerable a inyecciones SQL.

You have an error in your SQL syntax...

Para prevenir o mitigar las amenazas provenientes de la inyección SQL se debe asignar privilegios mínimos a los usuarios que acceden a la base de datos desde la aplicación, validar todas las entradas, especificando el tipo de dato de entrada, se debe usar procedimientos almacenados y aceptar los datos de los usuarios como parámetros en lugar de como parte de comandos SQL, usar comillas dobles en las consultas en lugar de comillas simples.

Exposición de los datos en almacenamiento y respaldos

El robo de información y la filtración de datos confidenciales son noticias del día a día, esta situación se debe a descuidos por parte de los administradores al momento de asignar los permisos a los directorios en los cuales se almacenan los archivos importantes para la organización.

            Estos robos de información donde están involucrados los datos almacenados en bases de datos por lo general involucran un respaldo que se almacena en un directorio que no está protegido adecuadamente para evitar su divulgación, es por ello que se deben tomar algunas precauciones para evitar este tipo de incidentes.

Es importante que todos los respaldos y todas las copias de seguridad que se hagan de las bases de datos de la organización deben ser cifradas para mantener su confidencialidad, además de promover el uso de estampado de tiempo en los archivos de respaldo para detectar posibles modificaciones no autorizadas que se hagan y garantizar la integridad de los datos almacenados en estos respaldos.

Algunos proveedores de sistemas de gestión de bases de datos sugieren que en el futuro solo se permita el respaldo cifrado de las bases de datos.

REFERENCIAS

Vulnerabilidades en seguridad de bases de datos. Disponible en http://www.onasystems.net/vulnerabilidades-importantes-afectan-la-seguridad-bases-datos-las-empresas/

Ataques a bases de datos SQL injection. Disponible en https://www.freelibros.org/programacion/ataques-a-bases-de-datos-sql-injection.html

Seguridad en bases de datos. Disponible en gplsi.dlsi.ua.es/bbdd/bd1/lib/exe/fetch.php?media=bd1:0910...seguridadbd.pdf

OWASP top ten 2017. Disponible en http://www.elladodelmal.com/2017/04/publicada-owasp-top-ten-2017-release.html

Principios Básicos de Seguridad en Bases de Datos. Disponible en https://www.researchgate.net/publication/279983428_Principios_Basicos_de_Seguridad_en_Bases_de_Datos

 Seguridad en Bases de Datos 1/2

Seguridad en Bases de Datos 2/2

Amenazas informáticas y mitigación de riesgos

En la sociedad actual, la tecnología está inmersa en todos los ámbitos de nuestra vida, en el entorno personal y profesional, además los adelantos en la tecnología hacen que esta herramienta sea más útil pero aumenta los riesgos asociados con su uso.

Actualmente existen muchas herramientas y técnicas a la disposición de las personas que quieren proteger los sistemas y la información de los usuarios, pero estas mismas herramientas también pueden ser utilizadas para vulnerar dicha información y las instalaciones e infraestructura de empresas y gobiernos, es por ello que se debe informar y concienciar a las personas para que apliquen las medidas de prevención que eviten ser víctimas de delitos informáticos a través de las redes.

Amenazas informáticas

Un delito informático es todo aquel acto ilícito que busque aprovecharse o apoderarse de los recursos o la información almacenada en algún medio digital sin el consentimiento o conocimiento de los dueños legítimos, que use como herramienta para este fin un computador.

Los fraudes y engaños que se presentan actualmente como delitos informáticos tienen las mismas características y objetivos que han tenido a lo largo de la historia de la humanidad, solo que se hace uso de las herramientas tecnológicas actuales para lograrlo, estos buscan apoderarse de dinero, información o la identidad del afectado para el beneficio ilegal de terceros en perjuicio o no del afectado.

Los ciberdelincuentes se aprovechan de la falta de conocimiento del uso adecuado de la tecnología por parte de los usuarios y de la falta de consenso en la legislación a nivel internacional para el combate de los delitos informáticos, ya que estos no tienen fronteras.

Las amenazas más frecuentes en las redes internas y externas de las organizaciones que tienen que ver con las operaciones normales de los empleados se pueden encontrar en la siguiente lista

Phishing

Uno de los delitos cibernéticos más comunes, simples, de bajo costo y fáciles de implementar es el envío de correo electrónico con archivos adjuntos maliciosos o con enlaces a direcciones web maliciosas, además a través de este engaño se solicitan datos críticos a los usuarios que pueden ser usados para el perjuicio de los dueños de dichos datos

Robo de información critica de la organización

Generalmente los datos críticos de la organización están almacenados en archivos de hojas de cálculo o archivos de procesadores de texto que pueden ser accedidos de manera ilícita por terceros no autorizados para esta acción y pueden usar esta información en perjuicio de la empresa.

Ingeniería social

A través de esta modalidad se pretende engañar a las personas que usan la tecnología, a través del uso de enlaces maliciosos, correos electrónicos falsos que exigen datos personales confidenciales para ser usados en beneficio de los agresores, esta información puede ser usada para atacar otras dependencias de la organización y aumentar el alcance del ataque.

Se debe tener cuidado con las campañas de enlaces maliciosos a través de mensajes de texto y Whatsapp, los cuales son propicios también para este tipo de engaños.

Malware

Estos son todos los programas usados para apoderarse de la información de los usuarios incautos, en esta categoría entran los gusanos, troyanos, keylogers, captura remota de video, secuestro de cámaras web, backdoors y un largo etcétera de software diseñado con el propósito de robar información a los usuarios. En esta categoría también entran los programas de secuestro ransomware, los cuales encriptan el contenido de los discos de los equipos y exige un rescate para entregar la clave de desencriptacion.

Tecnología móvil

En la actualidad con la disposición de dispositivos móviles como teléfonos inteligentes y tabletas, se presenta el riesgo de utilizar estos elementos fuera de la empresa sin la prevención de la aplicación de medidas de seguridad, para luego realizar su uso dentro de las instalaciones de la organización, esta acción puede representar un riesgo grave a la seguridad de la infraestructura ya que fuera de la empresa estos dispositivos pueden ser objeto de malware o software espía que perjudique o permita filtrar información importante para la organización o la persona que utiliza los mencionados dispositivos móviles. Se debe informar y concienciar al usuario de este tipo de dispositivos de los riesgos inherentes a su uso indiscriminado sin las medidas de seguridad correspondientes.

Adicionalmente a los riesgos anteriormente mencionados, también se pueden considerar aquellos que tienen que ver con el uso de dispositivos de acceso a Internet sin pasar por la infraestructura de seguridad que se implementa en la empresa, tales como los planes de datos de los teléfonos inteligentes o las tabletas, el uso de dispositivos de acceso a Internet, los cuales representan una puerta trasera a la seguridad implementada y pueden permitir la perpetración de algún tipo de acceso no autorizado y el robo o modificación de información importante para la empresa o las personas que laboran en ella.

Amenazas físicas

Este tipo de amenazas son las que se consideran al momento de presentarse una catástrofe, desastre natural o atentado contra las instalaciones que pueda causar la pérdida parcial o total de la infraestructura tecnológica de la organización. Entre estas amenazas podemos considerar incendios, inundaciones, saqueos, robos de equipos informáticos y todo lo que tenga que ver con la perdida de los equipos hardware de la organización.

Mitigación de riesgos y amenazas

Inicialmente se debe conceptualizar el riesgo como el nivel de exposición que tiene un activo importante para la organización, frente a las amenazas que se puedan presentar, las cuales pueden ser físicas o lógicas y además pueden ser internas o externas a la organización.

Al momento de querer eliminar los riesgos del uso de la tecnología en las organizaciones, debemos estar claros que estos riesgos no se eliminan por completo, estas se reducen a niveles aceptables para el funcionamiento de la organización mediante la aplicación de las medidas necesarias y el establecimiento de políticas de seguridad que aseguren su identificación, gestión y reducción.

El primer paso para la mitigación de las amenazas y vulnerabilidades es conocerlas y afrontarlas de una manera adecuada, esto se puede lograr a través de un inventario de activos, donde se enlisten todos los dispositivos de almacenamiento, procesamiento y transmisión de la información dentro de la organización para planificar la aplicación de medidas de resguardo en dichos dispositivos.

La falta de aplicación de las medidas adecuadas para evitar o mitigar las amenazas y vulnerabilidades puedan causar demandas legales por daños causados a terceros por omisión, sin el conocimiento de la organización.

Las medidas que tienden a mitigar los riesgos y amenazas de las redes internas y externas de la organización son las siguientes:

1. Seleccionar contraseñas seguras, preferiblemente deben estar compuestas por más de 8 caracteres, incluyendo números, letras minúsculas y mayúsculas y caracteres especiales no alfanuméricos, que no contengan información referente a fechas de nacimiento o nombres personales o de familiares o mascotas, ni ninguna palabra que aparezca en el diccionario.
2. Encriptar los datos almacenados en los computadores de la empresa, los portátiles asignados al personal que labora fuera de las instalaciones de la empresa y los datos que sean transmitidos a través de la infraestructura de comunicaciones de la organización.
3. Configurar los permisos a los usuarios con los mínimos privilegios que sean necesarios.
4. Detener los servicios que no se usen.
5. Usar la cuenta de administrador de los dispositivos solo cuando sea estrictamente necesario.
6. Realizar respaldo de los archivos importantes y de las bases de datos de la organización para prevenir la perdida de información valiosa.
7. Realizar un registro donde se tenga un adecuado control de los cambios realizados en la configuración de los dispositivos tecnológicos de la organización, para tener un control del origen de los posibles problemas de seguridad informática que se puedan presentar causados por los cambios realizados.
8. Resguardar y analizar los logs o registros de auditoría que se generan durante el funcionamiento de los servicios instalados en los equipos, para detectar posibles problemas que se puedan presentar y queden registrados a través de este mecanismo.
9. Mantener actualizados los sistemas operativos usados dentro de la organización, para eliminar las vulnerabilidades detectadas y corregidas en las versiones anteriores.
10. Evitar las configuraciones por defecto de los dispositivos, ya que esta es conocida a través de bases de datos de los fabricantes y puede ser accedida por cualquier persona que disponga de esta información.
11. Se deben verificar las extensiones completas de los archivos recibidos, ya que si se oculta la extensión de archivos conocidos en nuestro sistema operativo, pueden ocultar scripts o ejecutables maliciosos que pueden robar la información o instalar malware en el equipo.
12. Evitar, en la medida de lo posible el envío de información confidencial, bancaria o personal, a través de computadoras de cibercafés, computadoras públicas o enlaces a redes públicas abiertas, ya que esta información puede ser interceptada por alguna persona que se pueda aprovechar de ella.
13. Se deben implementar planes de contingencia y de continuidad de negocio que tomen en consideración la posible pérdida de toda o parte de la infraestructura tecnológica de la organización, mediante la implementación de medidas de seguridad lógica tales como respaldos de información en una ubicación diferente a donde opera la empresa, resguardo de la infraestructura mediante controles de acceso físicos (cercas, cerraduras, puertas con acceso restringido, etc.), tener un registro detallado de las personas que ingresan a los sitios con información sensible para la organización y todas las medidas que en este sentido se consideren necesarias.

Tal como se menciono al inicio, los riesgos no se pueden eliminar en su totalidad, pero si se pueden hacer esfuerzos que permitan minimizarlos hasta niveles aceptables para la organización y garantizar que el impacto que dichos riesgos ejerzan sobre las operaciones de la organización puedan ser subsanados satisfactoriamente y se pueda volver a las operaciones normales de la organización en un tiempo prudencialmente corto.

REFERENCIAS

Acosta, M. Seguridad Informática. Una nueva forma de inseguridad. Disponible en fondoeditorial.uneg.edu.ve/citeg/numeros/c02/c02_art07.pdf

Anderson, R. Security Engineering. A guide to building dependable distributed systems. Disponible en http://www.cl.cam.ac.uk/~rja14/book.html

Hacking desde cero. Conozca sus vulnerabilidades y proteja su información. Disponible en https://www.freelibros.org/manual/hacking-desde-cero-users.html

Lista de vídeos de Youtube de Seguridad Informática. Disponible en https://www.youtube.com/playlist?list=PLBZKCNV31DHMeBwMhlg-hR3YMQcEsIlJv

López, J. Seguridad Física COMO. Disponible en http://es.tldp.org/Manuales-LuCAS/doc-como-seguridad-fisica/COMO-seguridad-fisica.pdf

Rodríguez, F. Nuevos delitos informáticos: Phishing, pharming, hacking y cracking. Disponible en http://web.icam.es/bucket/Faustino%20Gud%C3%ADn%20-%20Nuevos%20delitos%20inform%C3%A1ticos.pdf

Taxonomía de soluciones de ciberseguridad. Disponible en https://openlibra.com/es/book/taxonomia-de-soluciones-de-ciberseguridad

Quintero, R. Delitos Informáticos. Disponible en www.desolapate.com/publicaciones/DELITOS%20INFORMATICOS_RDeSola.pdf