Академический Документы
Профессиональный Документы
Культура Документы
bre de 2013
3
Contenido
Introduccin..03
Minimizacin de la cantidad y gravedad de los incidentes de seguridad.03
Creacin de un CSIRT principal.. .04
Definicin de un plan de respuesta a incidentes....04
Contencin de daos y minimizacin de riesgos....05
Identificacin de la gravedad del ataque.....05
Empleado desleal.06
Un competidor dentro de la empresa..06
Riesgos directos en relacin con las personas que tienen acceso a informacin
confidencial......07
Motivaciones de los empleados desleales........07
Mtodos utilizados por espas corporativos internos de la empresa....07
NOTA: esta investigacin se ha basado en una empresa editorial de revistas, pero es aplicable a cualquier empresa.
Bibliografa..23
NOTA: esta investigacin se ha basado en una empresa editorial de revistas, pero es aplicable a cualquier empresa.
Introduccin
Muchas organizaciones aprenden a responder a incidentes de seguridad slo despus de sufrir ataques. Para
entonces, los incidentes a menudo pasan a ser mucho ms costosos de lo necesario. La respuesta apropiada a
un incidente debe ser una parte esencial de la directiva de seguridad general y de la estrategia de mitigacin de
riesgos.
Para responder correctamente a cualquier incidente, se necesita lo siguiente:
NOTA: esta investigacin se ha basado en una empresa editorial de revistas, pero es aplicable a cualquier empresa.
recuperacin del sistema. Asegrese de que las copias de seguridad y los medios se comprueban con
regularidad mediante la restauracin selectiva de datos.
Crear un CSIRT para abordar los incidentes de seguridad. Para obtener ms informacin sobre los
CSIRT, consulte la siguiente seccin de este documento.
NOTA: esta investigacin se ha basado en una empresa editorial de revistas, pero es aplicable a cualquier empresa.
Estos pasos no son puramente secuenciales, sino que se suceden a lo largo del incidente. Por ejemplo, la
documentacin comienza al principio y contina durante todo el ciclo de vida del incidente; las
comunicaciones tambin se producen durante todo el incidente.
Algunos aspectos del proceso se desarrollan junto a otros. Por ejemplo, como parte de la evaluacin inicial, se
har una idea de la naturaleza general del ataque. Es importante usar esta informacin para contener el dao y
minimizar el riesgo tan pronto como sea posible. Si acta con rapidez, podr ahorrar tiempo y dinero, y salvar
la reputacin de la organizacin.
No obstante, hasta que conozca mejor el tipo y la gravedad del ataque, no podr contener el dao ni minimizar
el riesgo de forma realmente efectiva. Una respuesta excesiva podra causar an ms dao que el ataque inicial.
Al llevar a cabo estos pasos de manera conjunta, obtendr la mejor unin entre acciones rpidas y efectivas.
NOTA: esta investigacin se ha basado en una empresa editorial de revistas, pero es aplicable a cualquier empresa.
Empleado desleal
EL principal enemigo de muchas empresas no es un competidor o un exportador chino que revienta los precios,
sino alguien de la propia plantilla. Los empleados descontentos o avariciosos pueden causar enormes
perjuicios, y no se trata slo de robos de material cometidos en grandes almacenes o cadenas, sino del vaciado
de sus activos ms preciados.
Suele ser un argumento habitual en las pelculas de ladrones que el acceso al botn o a parte de la informacin
imprescindible para dar el golpe de aporte un empleado desleal. La traicin de los trabajadores a sus patrones
no es una conducta sorprendente, sino ms habitual de lo que se cree.
Los propietarios de una pequea revista descubrieron por casualidad que su comercial cobraba por su cuenta
anuncios que en la oficina haca pasar por cortesas o como campaas especiales. Adems, para dificultar su
descubrimiento desviaba las facturas y las comunicaciones a otro despacho. Parte del importe de los anuncios
que haca publicar gratis en la revista para la que trabajaba los cobraba en especie (ordenador porttil,
telfonos mviles, ropa). Descubierto el traidor, sus patronos buscaron pruebas contra l mediante un detective
privado y una vez acorralado le ofrecieron un acuerdo: renunciar voluntariamente a su contrato y a todos los
derechos sociales que hubiera generado y devolver una cantidad a la empresa. En caso contrario, el empleado
se enfrentara a una querella penal y, tambin, a una campaa de desprestigio en su mbito profesional, de
modo que nadie confiase en l. Por supuesto, el ladrn de guante blanco cedi, pag lo que se le exiga y se
march. A nadie le interesaba un escndalo.
NOTA: esta investigacin se ha basado en una empresa editorial de revistas, pero es aplicable a cualquier empresa.
Riesgos directos en relacin con las personas que tienen acceso a informacin
confidencial
En relacin con las personas con accesos especiales, existen tres tipos principales de peligros que pueden
facilitar el espionaje corporativo.
Soborno: Es posible que los empleados reciban ofertas directas de agentes de inteligencia de otras
corporaciones, que ofrecen dinero en metlico a cambio de informacin confidencial o protegida.
Ingeniera Social: La manipulacin de un administrador de redes o de otras personas del departamento
de sistemas (ya sea por parte de personas de la propia corporacin o por parte de terceros) para que
divulguen informacin, como datos de inicio de sesin u otros datos de autentificacin, que pueden
usarse a continuacin para obtener el acceso a la informacin delicada.
Connivencia en Grupos: Cuando varios empleados se alan para usar sus conocimientos y privilegios
colectivos para obtener el acceso a la informacin.
Entre los mtodos utilizados para obtener los datos se incluye tambin el uso de los privilegios de acceso
propios del empleado, que pueden facilitarle el acceso a informacin protegida o confidencial. Por otro lado,
dado que los empleados tienen acceso fsico a la organizacin, pueden iniciar sesiones con la computadora de
otro empleado o robar una computadora porttil para tener acceso a otros recursos de la red. La intervencin
de las lneas de datos y la sustraccin de cintas de copia de seguridad son mtodos habituales de espionaje
fsico. Los espas pertenecientes a la organizacin pueden falsificar la informacin de otro usuario para solicitar
y obtener a travs de archivos adjuntos de correo electrnico la informacin que normalmente no recibiran
nunca. Otras tcnicas de ingeniera social, incluida la solicitud de cambios de informacin de inicio de sesin o
contraseas a travs de los centros de soporte de sistemas, hacindose pasar por otro usuario, o el uso
compartido de informacin de inicio de sesin entre empleados, facilitan el espionaje por parte de las personas
de la organizacin.
NOTA: esta investigacin se ha basado en una empresa editorial de revistas, pero es aplicable a cualquier empresa.
NOTA: esta investigacin se ha basado en una empresa editorial de revistas, pero es aplicable a cualquier empresa.
Proteger la informacin es proteger el funcionamiento adecuado de la empresa, sobre todo en casos de fallo
informtico.
Asimismo, la proteccin de la informacin permite evitar prdidas financieras provocadas por la desaparicin
de archivos, bases de datos, balances financieros, etc.
NOTA: esta investigacin se ha basado en una empresa editorial de revistas, pero es aplicable a cualquier empresa.
Memory Sticks e iPods. Estos dispositivos porttiles y medios extrables no controlados representan una seria
amenaza de seguridad.
10
NOTA: esta investigacin se ha basado en una empresa editorial de revistas, pero es aplicable a cualquier empresa.
E
Es importantte selecciona
ar las solucio
ones o herram
mientas de p
proteccin d
de informacin que se ad
dapten ms a
laas necesidad
des de la emp
presa.
P
Por lo genera
al, la eleccin
n de la herramienta de proteccin eest ligada aal volumen d
de la inform
macin que se
e
d
desea protegeer y al tama
o de la red de
d la empressa.
Aqu le preseentamos allgunos critterios para
a la elecccin de lla herramienta de proteccin::
Velo
ocidad de almacenam
a
miento: mieentras mayor sea el volu
umen de infformacin y el nmero de usuarioss,
mayo
or deber seer la velocid
dad (frecuencia) de alma
acenamiento
o. Contar co
on una velocidad adecu
uada permite
e
evitarr la prdida de datos.
Paraa un nmero
o de usuario
os superior a 10 es preeferible utiliizar un sisteema de protteccin auto
omtica (Ej.:
serviidores).
Fiab
bilidad del soporte (copia de segu
uridad) y faccilidad de uso
o:
La vida til
del soporrte (copia dee seguridad) debe compeensar o justifficar su preccio.
Es importante cono
ocer cmo est
e
organizada la inforrmacin en la copia dee seguridad
d para poder
restaurarrla rpidameente.
La copia de seguridad de su emp
presa debe seer fcil de maanejar o adm
ministrar.
Segu
uridad: los datos almaccenados en la
l copia de seguridad
s
deeben estar eencriptados, sobre todo ssi se trata de
e
una copia de seg
guridad on-liine.
Com
mpatibilida
ad: comprueebe que su co
opia de seguridad sea co
ompatible co
on Windows,, Apple y Lin
nux.
Sensibilidad al
a ambiente
e: algunos siistemas de seeguridad fsiicos (disco d
duro externo
o, lector de b
banda)
pued
den ser afecttados por el calor,
c
por el polvo, por un
u golpe, etcc.
Tip
pos de co
opia de s eguridad
d
uridad com
mpleta: pro
otege toda la
a
Copi a de segu
in
nformacin de un disco duro.
emental: p
protege todos
Copi a de segurridad incre
lo
os elemento
os que han ssido modificcados desdee la copia de
e
seguridad an
nterior.
uridad differencial: protege los
Copi a de segu
archivos
a
quee han sido m
modificados d
desde la ltiima copia de
e
seguridad co mpleta.
11
NOT
TA: esta inve
estigacin se ha basado en
n una empres
sa editorial d
de revistas, pe
ero es aplicab
ble a cualquiier empresa.
NOTA: esta investigacin se ha basado en una empresa editorial de revistas, pero es aplicable a cualquier empresa.
10. Limite los privilegios de los usuarios para instalar software en las mquinas.
Proteccin de la informacin en el
servidor de la empresa
Instalar un servidor (para ms de 5 PC) permite disminuir el riesgo de prdida de archivos. El servidor cuenta
con un lector de banda magntica que se encarga de copiar y proteger informacin todos los das.
Ventaja: las copias de seguridad son automticas y estn encriptados. Usted
puede proporcionar a sus colaboradores las claves de acceso a los archivos
almacenados en el servidor. El costo demuestra la fiabilidad del equipo o
material.
Desventaja: la proteccin o copia de la informacin no siempre se realiza en
tiempo real (riesgo de prdida de informacin). Es posible que se requieran
ciertas competencias tcnicas para poder restaurar la informacin.
Proteccin en lnea
Se trata de la creacin de una copia de seguridad en internet. Su ordenador/red deber estar conectado a un
servidor lejano que copie la informacin en tiempo real o un poco despus.
Ventajas: la copia de seguridad es creada casi de forma sincrnica al archivo (en caso de una fallo o problema,
la prdida de informacin es mnima). La administracin de los datos en lnea (clasificacin, recuperacin) es
relativamente simple (cdigos de acceso conocidos por los administradores escogidos). Adems, este tipo de
proteccin permite almacenar un gran volumen de informacin (1000 Gb o ms).
Desventajas: el tiempo empleado para la recuperacin de la informacin puede ser muy largo (todo depende
de su conexin y del volumen de informacin). La proteccin y la recuperacin de la informacin son
imposibles si la conexin de internet es interrumpida. La tarifa de este servicio de proteccin en lnea puede ser
muy elevada.
Como sabemos en la actualidad en Internet los clientes y su informacin brillan como oro, y cuando los piratas
descubren este oro, se crean muchos problemas. Una vez que la informacin del cliente o empleado se ve
comprometida, ellos, estn en un grave riesgo de un robo de identidad y tu empresa perder toda confianza.
As que lo mejor es seguir estos pasos para proteger la seguridad informtica en tu empresa. Debemos tomar en
cuenta que los administradores de la empresa tienen la obligacin o responsabilidad de proteger la informacin
personal de los clientes que se va adquiriendo.
13
NOTA: esta investigacin se ha basado en una empresa editorial de revistas, pero es aplicable a cualquier empresa.
Lo q
que nos dicee que en esto
os das, cuallquier empresa necesitaa implementtar las mediidas que seaan necesarias
paraa garantizar la
l informacin del clientte ante las am
menazas en lnea.
Totaalmente con
ntrario a lo que suele pensarse
p
qu
ue la mayorra de los ssistemas info
formticos p
pueden estar
comp
prometidos o hackead
dos. Y cm
mo puede ser
s
esto possible? Mediiante una sserie de acctos audaces
perp
petrados por Genios Infformticos ante
a
el cual gran
g
parte d
de empresas se encuentran indefensaas.
Pollticas
Poltticas de vaccaciones. Deb
bes asegura
arte de que en los per odos vacaciionales en d
donde los em
mpleados se
e
descconectan y no tienen a la mano su escrito
orio, tengaan sus dato
os a dispossicin del ssupervisor o
adm
ministrador, ya
y que en tan
t
solo una
a o dos sem
manas se pu
ueden produ
ucir fraudess internos, ssi no existen
n
med
didas y personal preparad
do.
Las aauditorias so
orpresas. Co
on stas pod
drs detecta
ar y preveniir o limpiarr los posiblees fraudes d
dentro de tu
u
empresa; as mismo puedes detectar y evitar
e
que tu
us fondos no
o se puedan manipular antes de quee realices las
revissiones financcieras progra
amadas.
Apro
obaciones por duplicad
do. Debes im
mplementar en los pro
ocesos bancaarios las ap
probaciones duales para
a
operraciones ban
ncarias como
o las transfeerencias y lo
os pagos; con
n esta impleementacin tan sencilla reducirs al
a
mniimo posible algunos rieesgos de fra
aude. Tu em
mpresa puedee tambin p
pedir ms aaprobacioness adicionales
antes de que un nuevo clien
nte o vended
dor sea aad
dido a un sisstema especiifico de de p
pago, tambin es posible
e
usar bloques de dbito y alertas com
mplementaria
as para de eesta forma rreducir el riiesgo ante p
pagos que no
o
estn
n no autoriza
ados.
Con
ntrasea
as
Conttraseas ocu
ultas: La con
ntrasea mss robusta del mundo quee puedas im
maginar no va
proteeger tus cuentas de emp
presa si un hacker
h
tiene la
l posibilidaad de leerla d
de un trozo
de p
papel que ha
as escondid
do en cajn
n de tu oficin
na; debes dee guardar d
de la mejor
form
ma tu contrassea.
Pollticas, ttecnolog
ga y em pleadoss
Las polticas y las tecnolog
gas deben ponerse
p
en prctica paara protegerr la informaacin confid
dencial de la
a
empresa. Estos controles tieenen que garantizar la capacidad
c
dee obtener in
nformacin ssobre la red,, as como la
a
oporrtunidad de manejar loss datos que entran y salen de la em
mpresa. Si b
bien las poltticas y la tecnologa son
n
14
NOT
TA: esta inve
estigacin se ha basado en
n una empres
sa editorial d
de revistas, pe
ero es aplicab
ble a cualquiier empresa.
ciertamente una parte crtica de cualquier programa de Seguridad de la Informacin, estas medidas por s solas
no pueden ofrecer la suficiente seguridad en la prctica.
La concienciacin de los riesgos, y las protecciones disponibles son la primera lnea de defensa para la
seguridad. Los empleados son el permetro real de la red de la organizacin y su comportamiento es un aspecto
vital de la seguridad. La proteccin de las organizaciones comienza con asegurarse de que los empleados
comprendan sus funciones y responsabilidades en la proteccin de los datos sensibles y la proteccin de los
recursos de la empresa, y ayudar a la organizacin en el mantenimiento de los equipos y de seguridad de la red.
Lugar de trabajo
El centro en el cual confluye ms de 90% de la informacin que manejamos es nuestro propio lugar de trabajo
y, por ello, merece ocuparse de l en primer lugar.
Las principales normas a tener presente en este apartado son las siguientes:
La sala debe reunir unos requisitos mnimos de aislamiento acstico que impidan la escucha desde el
exterior de conversaciones mantenidas en el interior. Esto incluye acristalamiento doble y paneles o
paredes aisladas. En caso de que la sala linde con finca vecina, debe preverse una cmara de aire entre
el panel interior y la pared. El panel interior debe tener aislante acstico y ser practicable para la
inspeccin de la cmara. Debe disponer de cortinas y cerradura interior de las ventanas, en el caso de
que stas sean practicables.
Asegrese, a travs de personal de mantenimiento, de que no hay cableado intil en paredes y falso
techo. Puede ser fcilmente utilizado como portador de seal. En caso de instalaciones de reserva
(habitual en modernas instalaciones de redes de voz y de datos), verifique que los conductos de
canalizacin son seguros.
Tenga siempre cerradas las cortinas.
No utilice ni interfonos ni telfonos inalmbricos y, en caso de que el uso de los mismos sea
imprescindible, adquiralos de tecnologa digital de transmisin.
Disponga de cerraduras seguras en todas las puertas, armarios y cajones. Si maneja documentos
especialmente sensibles, adquiera una caja de seguridad para almacenar los mismos. Dichas llaves
debern estar en su poder y, en caso necesario, en el de su secretaria o colaborador de confianza. En
previsin de emergencias, entregue una copia al responsable de seguridad, dentro de un sobre de
seguridad cerrado y con su firma en la unin de la solapa con la bolsa, para su depsito en una caja de
seguridad.
Slo deben tener acceso a nuestro despacho personas de la propia organizacin. Las visitas de terceros
es conveniente atenderlas en salas especialmente previstas para ello. Adems, instruya al personal de
limpieza para que revise y adecue la sala inmediatamente despus de cada uso. Dichas salas deben
carecer de telfonos enlazados a lneas directas y, en la medida que el sistema lo permita, slo deben
poder realizar llamadas a extensiones interiores (sin perjuicio de que puedan recibir, transferidas,
llamadas externas).
Autorice el acceso a su despacho, en su ausencia, a una nica persona de confianza (p.e. su secretaria).
En caso de que, en su ausencia, algn colaborador precise de algn documento, sta ser la encargada
de entregarlo.
15
NOTA: esta investigacin se ha basado en una empresa editorial de revistas, pero es aplicable a cualquier empresa.
Al abandonar el despacho, no deje ningn documento accesible. Durante su ausencia, personas sobre
las cuales no tiene ningn control accedern al mismo (personal de limpieza, mantenimiento,
seguridad, etc.). No presuponga ni la integridad ni la capacidad de estas personas, no todas tendrn su
inteligencia y formacin para discernir la bondad o maldad de una determinada conducta. Una prctica
til en este aspecto es disponer de un estante en uno de sus armarios, exclusivamente para depositar en
el mismo los documentos existentes sobre su mesa en el momento de salir. Instruya a su secretaria o
colaborador de confianza a que, antes de salir y en caso de ausencia de usted, revise que no queden
papeles accesibles.
En su ausencia, los armarios y cajones debern quedar cerrados.
Disponga de destructora de documentacin, de prestaciones adecuadas al volumen de los documentos
que maneja. Escoja una que disponga de entrada de objetos al depsito y elimine las papeleras, as
estar seguro de que cumple la norma de destruir todo papel desechado. Disponga lo mismo para su
secretaria.
Desconfe de los regalos. La forma ms fcil de introducir un micrfono emisor en su oficina es
introducindolo en un objeto de regalo. En todo caso, verifique por personal especializado (a travs del
responsable de seguridad) su inocuidad. Bajo ningn concepto conecte a la red elctrica o telefnica
equipos que le hayan sido regalados (desconfe especialmente de un telfono mvil, se pueden "trucar"
de varias maneras).
En zonas de despachos panelables, no reciba visitas. Es muy fcil que esa persona vea o escuche algo
que no debe. Disponga de otro local, donde se recibe, y no se pueda llevar, ms que lo que usted le
quiera dar.
Instale una alarma, conectada a Central Receptora, con detectores de humo (no olvide el riesgo del
fuego), y mejor con cmara de TV, para que desde la Central sepan lo que est pasando cuando se
dispara la alarma.
Proteja la informacin
Sea cauto en sus conversaciones con colegas en firmas competidoras. Usted nunca podr valorar de forma
segura hasta qu punto una informacin puede o no ser valiosa para una empresa competidora. Conocer la
existencia de un proyecto descartado, aunque puede no parecerlo, tiene una extraordinaria importancia: da
una idea de la actividad de una empresa en materia de innovacin, afianza la conclusin de que una idea es
digna de tenerla presente y estudiarla, permite prever posibles actuaciones futuras, etc. Si, adems,
comentamos por qu lo hemos descartado, la informacin (y los beneficios de conocerla) se multiplican.
Tengamos presente, adems, que comunicar determinados detalles o informaciones es la mejor forma de crear
confianza en nuestros interlocutores. Dejar que terceros conozcan estos detalles les permite crear la apariencia
de una condicin que nunca hemos querido darles.
16
NOTA: esta investigacin se ha basado en una empresa editorial de revistas, pero es aplicable a cualquier empresa.
de lneas analgicas (pero el que disponga de tecnologa adecuada, podr hacerle multitud de ataques,
imposibles en las lneas analgicas)
Sea especialmente reservado cuando utilice telfonos mviles (incluidos los GSM). Es el sistema ms
vulnerable y que ofrece mayor impunidad. Evite dar nombres o datos cuando hable por el mvil y limite
su uso a casos de estricta necesidad. No facilite su nmero mvil ms que a su secretaria de confianza,
responsable de seguridad y personal directivo: en caso de necesidad, su secretaria puede transferirle
directamente las llamadas urgentes recibidas en su oficina. Active la ocultacin del nmero propio (slo
posible en GSM). Utilice un telfono o tarjeta independiente para asuntos personales. Debe saber,
adems, que el GSM, informa al sistema del lugar geogrfico en que usted se encuentra, simplemente
por el hecho de estar conectado.
En momentos de especial sensibilidad de los asuntos que deba tratar, adquiera para su telfono mvil
una tarjeta pre-pago, adquirida en efectivo. Posteriormente, desviamos nuestro nmero habitual al
nuevo, y la gente que nos llame, no tendr que saber el nmero donde se ha desviado. La tarjeta es el
nico identificador del equipo y, sin poderla vincular a travs de pagos por domiciliacin bancaria o
tarjeta de crdito, difcilmente ser conocida por terceros.
Seguridad informtica
En nuestros ordenadores se concentra la prctica totalidad de la informacin que elaboramos. Adems, hoy en
da es un medio habitual de comunicacin. La utilidad del ordenador para almacenar y procesar informacin
tiene, como contrapartida, la concentracin de la misma en un nico archivo de escaso tamao. Antao, para
apropiarse de los secretos de otro haba que examinar y sustraer un considerable volumen de documentacin.
Utilice un programa de control de acceso y cifrado automtico de datos sensibles (SAFE Data BECKER
o similares). Los controles por contrasea de los sistemas operativos al uso no cumplen de forma eficaz
con esta misin y son altamente vulnerables. Adems, no protegen la informacin frente ataques
directos al soporte fsico de la misma (generalmente, el disco duro) . Con los porttiles, esto es
imprescindible, por lo fcilmente que se pueden "distraer" en cualquier desplazamiento. El cifrado es
especialmente importante cuando se trabaja en red, ya que determinados programas, permiten ver
todos sus archivos, desde cualquier otro PC conectado a la red (Estos programas estn en las revistas
especializadas y en Internet, gratuitamente) . O para el caso del correo electrnico, que es muy
vulnerable.
Utilice contraseas seguras. Palabras, nombres, fechas o secuencias de nmeros son fcil y rpidamente
comprobadas a la velocidad actual de proceso de los equipos. Una contrasea mnimamente segura se
compone de un mnimo de 8 caracteres mezclando maysculas, minsculas, nmeros y signos
especiales. Y por descontado, crelas usted, no el Dept. de Informtica
Realice siempre copias de seguridad. Si le roban el equipo, o sufre alguna avera, podr recuperar su
trabajo. Almacnelas, eso s, en lugar suficientemente seguro.
Active utilidades de cifrado en sus mensajes de correo electrnico (recomiendo el PGP, de uso muy
extendido) incluso dentro de la propia red corporativa. Todos los sistemas de correo (internos o
externos) estn basados en el almacenamiento de los mensajes en un equipo servidor y un operador con
autorizacin suficiente (por clave propia o mediante clave ajena conocida) a los que se podra acceder a
los buzones de mensajes sin que usted ni el destinatario lo supieran. No presuponga que el
departamento de informtica es seguro: probablemente lo es, pero usted no puede saberlo (de todas
maneras, piense que el correo electrnico se comporta all por donde va pasando como un sobre
transparente y si alguien quiere, lo puede leer). Utilice direcciones de correo electrnico annimas,
gratuitas y de un solo uso, para los documentos delicados (el servidor de correo de la empresa, para el
Dpto. de Informtica, es transparente).
Seguridad Corporativa
Todas las normas anteriores sern ineficaces si no son observadas por los miembros de su equipo de trabajo y
por el resto de los directivos. Instryales sobre la importancia de la seguridad y control en el tratamiento de la
17
NOTA: esta investigacin se ha basado en una empresa editorial de revistas, pero es aplicable a cualquier empresa.
informacin. Distribuya copias de este documento. Mal se pueden tomar medidas de seguridad, cuando se
ignora su lgica.
Realice peridicamente "limpiezas", pero especialmente en pocas de crisis. Los "malos" no quieren ser
descubiertos, y por lo tanto, es posible que no lo intenten, si saben que se hacen revisiones.
Valore la oportunidad de elaborar una poltica global de seguridad por profesionales expertos. Esto permitir
identificar zonas sensibles, redefinir circuitos y, en resumen, establecer unas normas comunes adaptadas al
grado de inters que la informacin de una empresa pueda despertar en terceros.
La seguridad es un aspecto vital para toda empresa (y muy rentable). Lamentablemente, su utilidad slo se
puede valorar cuando no existe y algo ocurre.
Es imprescindible que alguien asuma las funciones de coordinacin de seguridad. Slo as se puede permitir
que hechos aislados lleguen a un mismo centro de anlisis y toma de decisiones.
Antes de descartar una determinada prctica por la incomodidad que representa, valore los riesgos que est
asumiendo. Nunca podr valorar de forma efectiva el nivel de seguridad de su sistema. En el mejor de los casos,
lo nico que podr saber es que es insuficiente... pero entonces ya ser tarde. Por ello, no permita que su
equipo se relaje por la ausencia de incidencias: puede que no las haya habido precisamente por las medidas
seguidas hasta ese momento.
18
NOTA: esta investigacin se ha basado en una empresa editorial de revistas, pero es aplicable a cualquier empresa.
involucrado en la crisis. Frecuentemente es la condicin sine qua non para reganar la credibilidad y confianza
de los pblicos
a) El (nuevo) CEO debe conceder el derecho a enojo de los pblicos y pedir disculpas pblicamente,
mostrando empata, un remordimiento sincero y actuando en consecuencia (a sabiendas de que ello
ser insuficiente)
b) Debe aclarar los hechos que generaron la crisis, proporcionando toda la informacin necesaria en forma
peridica y actualizada, eventualmente en ruedas de prensa y en el sitio web de la compaa.
c) 4. Debe comprometerse a que la empresa ser un mejor ciudadano corporativo, remediando el
problema, resarciendo a los perjudicados y garantizando que algo como lo que motiv la crisis no
volver a ocurrir. Eventualmente debe considerar encarar un proceso de cambio cultural. No debe hacer
promesas que no est seguro de poder cumplir.
d) Si el origen de la crisis ha sido un fraude, soborno u otro motivo relacionado a una falta de tica, la
empresa debe contratar una agencia externa independiente para realizar una auditora forensica y
cooperar intensamente con las autoridades involucradas en la investigacin del caso. El rea de
Compliance debera ser reforzado, tanto en trminos de recursos como de atribuciones.
e) Todos los sistemas de deteccin temprana de riesgos deben funcionar como un reloj para prevenir
efectos secundarios de la crisis que pudieran generar nuevos incidentes.
f) La empresa debe dejar pasar tiempo prudencial antes de reaparecer (aumentar el perfil) nuevamente. Si
hay causas legales con repercusin meditica debiera esperar el desenlace del juicio antes de reiniciar
su comunicacin poltica (no-comercial).
g) Mientras eso sucede, debe basar su relacin con los pblicos externos en la comunicacin comercial
apoyada en aquellos aspectos de la empresa que quedaron al margen del dao reputacin.
Frecuentemente se trata de la imagen de sus productos.
h) Cuando el motivo de la crisis est cayendo en el olvido y las acciones posteriores de la empresa para
mejorar su posicionamiento ya son reconocidas, se debe reiniciar el dilogo con todos los stakeholders
para recuperar la confianza y credibilidad perdida.
i) Cuando la empresa haya recuperado sus fortalezas en el mercado es conveniente realizar una campaa
institucional (comunicacin poltica) amplia y masiva poniendo nfasis en los nuevos valores de la
organizacin.
Auditora Informtica
19
NOTA: esta investigacin se ha basado en una empresa editorial de revistas, pero es aplicable a cualquier empresa.
Un equipo de especialistas en seguridad informtica evaluar el estado de sus sistemas, tanto a nivel interno
como externo, as como el del sitio web, aplicaciones y bases de datos de su empresa.
Segn las necesidades de cada cliente, los servicios prestados podrn ser los siguientes:
Auditora de seguridad interna: anlisis de los riesgos existentes en el sistema de su empresa, que
tengan origen en el interior de la red corporativa.
Informe sobre el estado actual del sistema y recomendacin de soluciones en caso de que alguno de los
test sea positivo.
Seguridad Informtica Permanente de los recursos informticos de la empresa y/o del Sitio Web
corporativo, a travs de sofisticados programas de seguimiento, y deteccin de amenazas de intrusiones
externas que puedan poner en peligro la informacin de la empresa.
Uso indebido del material informtico: Actividades extra laborales ejercidas por trabajadores dentro
del horario laboral; uso de aplicaciones no permitidas
Certificacin de autenticidad de mensajes de correo electrnico: Para aportar como medios de pruebas
ante un Tribunal de Justicia en casos de conflictos laborales, etc.
20
NOTA: esta investigacin se ha basado en una empresa editorial de revistas, pero es aplicable a cualquier empresa.
21
NOTA: esta investigacin se ha basado en una empresa editorial de revistas, pero es aplicable a cualquier empresa.
Tras la investigacin, el Perito elaborar un Informe Pericial, el cual una vez firmado tendr validez como
prueba ante un Tribunal de Justicia.
En caso necesario, el Perito acudir al Tribunal para ratificar su Informe Pericial Informtico.
22
NOTA: esta investigacin se ha basado en una empresa editorial de revistas, pero es aplicable a cualquier empresa.
Bibliografa
http://www.microsoft.com/business/es-es/Content/Paginas/article.aspx?cbcid=122
http://www.notariado.org/liferay/c/document_library/get_file?folderId=12092&name=DLFE-12710.pdf
http://www.onnet.es/estudio001.pdf
http://www.grupocorpodat.com/servicios_seg_informatica
http://technet.microsoft.com/es-es/library/cc700825.aspx
http://catarina.udlap.mx/u_dl_a/tales/documentos/lis/jerez_l_ca/capitulo1.pdf
http://www.elderecho.com/mercantil/Medios-combatir-competencia-desleal_11_455680001.html
http://www.monografias.com/trabajos13/artesp/artesp.shtml
www.spyzone.com
www.loyola-edu/dept/politics/ecintel.html
www.spysite.com
www.mai-assoc.com
www.cb-security.com
http://www.iec.csic.es/criptonomicon/articulos/expertos58.html
23
NOTA: esta investigacin se ha basado en una empresa editorial de revistas, pero es aplicable a cualquier empresa.