Lunes 11 de Noviemb

bre de 2013
3

Contenido
Introduccin..03
Minimizacin de la cantidad y gravedad de los incidentes de seguridad.03
Creacin de un CSIRT principal.. .04
Definicin de un plan de respuesta a incidentes....04
Contencin de daos y minimizacin de riesgos....05
Identificacin de la gravedad del ataque.....05

Empleado desleal.06
Un competidor dentro de la empresa..06
Riesgos directos en relacin con las personas que tienen acceso a informacin
confidencial......07
Motivaciones de los empleados desleales........07
Mtodos utilizados por espas corporativos internos de la empresa....07

Como proteger la informacin de empresas?..08

Por qu es importante proteger la informacin en empresas?..08
Medios que utilizan los empleados desleales para el robo de informacin..09
Criterios para escoger un sistema de proteccin.....10
Tipos de copia de seguridad....11
Como proteger la informacin en empresas?..12
Otras prevenciones para evitar que usuarios o empleados roben o daen nuestra informacin..12
Proteccin de la informacin en la pc y en discos externos...13
Proteccin de la informacin en el servidor de la empresa.13
Proteccin en lnea...13
Polticas..14
Contraseas..14
Polticas, tecnologa y empleados....14
1

NOTA: esta investigacin se ha basado en una empresa editorial de revistas, pero es aplicable a cualquier empresa.

Medidas generales de Seguridad de la informacin en una empresa...15

Lugar de trabajo....15
Proteja la informacin.16
Uso del telfono..16
Seguridad informtica.17
Seguridad corporativa....17

Plan de respuestas a incidentes...18

Deteccin de incidentes de seguridad informtica19
Auditora Informtica....19
Peritaje Informtico Forense.20
Informe pericial sobre un dispositivo electrnico...21

Reducir vulnerabilidades que conducen a la sustraccin de informacin..22

Bibliografa..23

NOTA: esta investigacin se ha basado en una empresa editorial de revistas, pero es aplicable a cualquier empresa.

Introduccin
Muchas organizaciones aprenden a responder a incidentes de seguridad slo despus de sufrir ataques. Para
entonces, los incidentes a menudo pasan a ser mucho ms costosos de lo necesario. La respuesta apropiada a
un incidente debe ser una parte esencial de la directiva de seguridad general y de la estrategia de mitigacin de
riesgos.
Para responder correctamente a cualquier incidente, se necesita lo siguiente:

Minimizar la cantidad y gravedad de los incidentes de seguridad.

Crear un CSIRT principal (Computer Security Incident Response Team, Equipo de respuesta a
incidentes de seguridad informtica).
Definir un plan de respuesta a incidentes.
Contener los daos y minimizar los riesgos.

Minimizacin de la cantidad y gravedad de los incidentes de seguridad

En la mayora de los mbitos de la vida, es mejor prevenir que curar, y la seguridad no es una excepcin.
Siempre que sea posible, se desear evitar que, en primer lugar, se produzcan incidentes de seguridad. No
obstante, resulta imposible evitar todos los incidentes de seguridad. Cuando se produce un incidente de
seguridad, se debe garantizar que se minimice su repercusin. Para minimizar la cantidad y repercusin de los
incidentes de seguridad, debe seguir estas pautas:
Establecer claramente y poner en prctica todas las directivas y procedimientos. Muchos incidentes de
seguridad estn provocados accidentalmente por el personal de TI, que no ha seguido o no ha entendido
los procedimientos de administracin de cambios, o bien no ha configurado correctamente los
dispositivos de seguridad, como pueden ser los firewall o los sistemas de autenticacin. Las directivas y
los procedimientos se deben probar exhaustivamente para garantizar que son prcticos y claros, y que
ofrecen el nivel de seguridad apropiado.
Obtener compatibilidad administrativa para las directivas de seguridad y el control de incidentes.
Evaluar de forma regular las vulnerabilidades del entorno. Las evaluaciones deben ser realizadas por un
experto en seguridad con la autoridad necesaria (con derechos de administrador de los sistemas) para
llevar a cabo estas acciones.
Comprobar con regularidad todos los sistemas y dispositivos de red para garantizar que tienen
instaladas las revisiones ms recientes.
Establecer programas de formacin sobre la seguridad tanto para el personal de TI como para los
usuarios finales. La mayor vulnerabilidad de cualquier sistema es el usuario carente de experiencia. El
gusano ILOVEYOU aprovech de forma eficaz esa vulnerabilidad entre el personal de TI y los usuarios
finales.
Se deben enviar pancartas de seguridad que recuerden a los usuarios sus responsabilidades y
restricciones, junto con la advertencia de que se pueden emprender acciones legales en caso de
infraccin. Estas pancartas facilitan el hecho de reunir pruebas y procesar a los atacantes. Se debe
buscar asesoramiento legal para asegurarse de que la redaccin de las pancartas de seguridad es
apropiada.
Desarrollar, implementar y poner en prctica una directiva que requiera contraseas seguras. Para
obtener ms informacin sobre contraseas, consulte el apartado "Aplicacin del uso de contraseas
seguras en las organizaciones" del kit de orientaciones sobre seguridad.
Supervisar y analizar con regularidad el trfico de red y el rendimiento del sistema.
Comprobar con regularidad todos los registros y mecanismos de registro, incluidos los registros de
eventos del sistema operativo, los registros especficos de aplicacin y los registros de sistema de
deteccin de intrusiones.
Comprobar los procedimientos de restauracin y copia de seguridad. Debe saber dnde se almacenan
las copias de seguridad, quin tiene acceso a ellas y los procedimientos para la restauracin de datos y la

NOTA: esta investigacin se ha basado en una empresa editorial de revistas, pero es aplicable a cualquier empresa.

recuperacin del sistema. Asegrese de que las copias de seguridad y los medios se comprueban con
regularidad mediante la restauracin selectiva de datos.
Crear un CSIRT para abordar los incidentes de seguridad. Para obtener ms informacin sobre los
CSIRT, consulte la siguiente seccin de este documento.

Creacin de un CSIRT principal

El CSIRT es crucial para tratar con los incidentes de seguridad del entorno. El equipo debe estar formado por
un grupo de personas responsables de abordar los incidentes de seguridad. Los miembros del equipo deben
haber definido claramente sus tareas para asegurar que no quede ningn rea de la respuesta sin cubrir.
El hecho de reunir un equipo antes de que se produzca cualquier incidente es muy importante para la
organizacin e influir positivamente en la manera de tratar los incidentes. Un equipo adecuado realizar las
siguientes tareas:
Supervisar los sistemas en busca de infracciones de seguridad.
Servir como punto central de comunicacin, tanto para recibir los informes de incidentes de seguridad,
como para difundir informacin esencial sobre los incidentes a las entidades correspondientes.
Documentar y catalogar los incidentes de seguridad.
Aumentar el nivel de conciencia con respecto a la seguridad dentro de la compaa para ayudar a evitar
que se den incidentes en la organizacin.
Posibilitar la auditora de sistemas y redes mediante procesos como la evaluacin de vulnerabilidades y
pruebas de penetracin.
Obtener ms informacin sobre las nuevas vulnerabilidades y estrategias de ataque empleadas por los
atacantes.
Investigar acerca de nuevas revisiones de software.
Analizar y desarrollar nuevas tecnologas para minimizar los riesgos y vulnerabilidades de seguridad.
Ofrecer servicios de consultora sobre seguridad.
Perfeccionar y actualizar continuamente los sistemas y procedimientos actuales.

Definicin de un plan de respuesta a incidentes

Todos los miembros del entorno de TI deben saber cmo actuar en caso de incidente. El CSIRT realizar la
mayora de las acciones en respuesta a un incidente, pero todo el personal de TI debe saber cmo informar de
incidentes internamente. Los usuarios finales deben informar de cualquier actividad sospechosa al personal de
TI directamente o a travs de un personal de asistencia, no directamente al CSIRT.
Cada miembro del equipo debe revisar el plan de respuesta a incidentes detalladamente. El hecho de que el
plan sea fcilmente accesible para todo el personal de TI ayudar a garantizar que, cuando se produzca un
incidente, se seguirn los procedimientos correctos.
Para elaborar un plan satisfactorio de respuesta a incidentes se deben seguir estos pasos:
Realizar una evaluacin inicial.
Comunicar el incidente.
Contener el dao y minimizar el riesgo.
Identificar el tipo y la gravedad del ataque.
Proteger las pruebas.
Notificar a los organismos externos, si corresponde.
Recuperar los sistemas.
Compilar y organizar la documentacin del incidente.
Valorar los daos y costos del incidente.
Revisar las directivas de respuesta y actualizacin.

NOTA: esta investigacin se ha basado en una empresa editorial de revistas, pero es aplicable a cualquier empresa.

Estos pasos no son puramente secuenciales, sino que se suceden a lo largo del incidente. Por ejemplo, la
documentacin comienza al principio y contina durante todo el ciclo de vida del incidente; las
comunicaciones tambin se producen durante todo el incidente.
Algunos aspectos del proceso se desarrollan junto a otros. Por ejemplo, como parte de la evaluacin inicial, se
har una idea de la naturaleza general del ataque. Es importante usar esta informacin para contener el dao y
minimizar el riesgo tan pronto como sea posible. Si acta con rapidez, podr ahorrar tiempo y dinero, y salvar
la reputacin de la organizacin.
No obstante, hasta que conozca mejor el tipo y la gravedad del ataque, no podr contener el dao ni minimizar
el riesgo de forma realmente efectiva. Una respuesta excesiva podra causar an ms dao que el ataque inicial.
Al llevar a cabo estos pasos de manera conjunta, obtendr la mejor unin entre acciones rpidas y efectivas.

Contencin de daos y minimizacin de riesgos

Al actuar rpidamente para reducir los efectos reales y potenciales de un ataque, puede marcar la diferencia
entre un ataque de menor o mayor importancia. La respuesta exacta depender de la organizacin y de la
naturaleza del ataque al que se enfrente. No obstante, se sugieren las siguientes prioridades como punto de
partida:
1. Proteger la vida humana y la seguridad de las personas. Por supuesto, esta debe ser siempre la
mxima prioridad.
2. Proteger la informacin secreta y confidencial. Como parte de su plan de respuesta a incidentes,
debe definir claramente qu informacin es secreta o confidencial. Esto le permitir establecer
prioridades a sus respuestas de proteccin de datos.
3. Proteger otra informacin, como datos cientficos, sobre propiedad o del mbito
directivo. Puede que otra informacin de su entorno tambin sea valiosa. Debe proteger en primer
lugar los datos ms valiosos antes de pasar a otros menos tiles.
4. Proteger el hardware y software contra el ataque. Esto incluye protegerlos contra la prdida o la
modificacin de los archivos de sistema y contra daos fsicos al hardware. Los daos en los sistemas
pueden tener como consecuencia un costoso tiempo de inactividad.
5. Minimizar la interrupcin de los recursos informticos (incluidos los procesos). Aunque
el tiempo de produccin sea muy importante en la mayora de los entornos, el hecho de mantener los
sistemas en funcionamiento durante un ataque puede tener como consecuencia problemas ms graves
en el futuro. Por este motivo, la minimizacin de la interrupcin de los recursos informticos debe ser
generalmente una prioridad relativamente baja.

Identificacin de la gravedad del ataque

Para poder recuperarse de forma eficaz de un ataque, debe determinar la gravedad de la situacin de peligro
que han sufrido los sistemas. Esto determinar cmo contener y minimizar el riesgo, cmo recuperarse de l,
en qu momento y a quin comunicar el incidente, y si se debe intentar obtener una indemnizacin legal.
Debe intentar:
Determinar la naturaleza del ataque (puede ser diferente a lo que sugiere la evaluacin inicial).
Determinar el punto de origen del ataque.
Determinar la intencin del ataque. Estaba el ataque dirigido especficamente a su organizacin para
conseguir informacin concreta o fue un ataque aleatorio?
Identificar los sistemas puestos en peligro.
Identificar los archivos a los que se ha tenido acceso y determinar su grado de confidencialidad.
Al realizar estas acciones, podr determinar las respuestas apropiadas para su entorno. Un buen plan de
respuesta a incidentes resumir los procedimientos especficos que ha de seguir hasta obtener ms informacin
sobre el ataque. Generalmente, la naturaleza de los sntomas del ataque determinar el orden en el que deber
seguir los procedimientos definidos en el plan. Ya que el tiempo es de suma importancia, los procedimientos
que requieran menos tiempo tendrn prioridad ante los que consuman ms tiempo.

NOTA: esta investigacin se ha basado en una empresa editorial de revistas, pero es aplicable a cualquier empresa.

Empleado desleal
EL principal enemigo de muchas empresas no es un competidor o un exportador chino que revienta los precios,
sino alguien de la propia plantilla. Los empleados descontentos o avariciosos pueden causar enormes
perjuicios, y no se trata slo de robos de material cometidos en grandes almacenes o cadenas, sino del vaciado
de sus activos ms preciados.
Suele ser un argumento habitual en las pelculas de ladrones que el acceso al botn o a parte de la informacin
imprescindible para dar el golpe de aporte un empleado desleal. La traicin de los trabajadores a sus patrones
no es una conducta sorprendente, sino ms habitual de lo que se cree.
Los propietarios de una pequea revista descubrieron por casualidad que su comercial cobraba por su cuenta
anuncios que en la oficina haca pasar por cortesas o como campaas especiales. Adems, para dificultar su
descubrimiento desviaba las facturas y las comunicaciones a otro despacho. Parte del importe de los anuncios
que haca publicar gratis en la revista para la que trabajaba los cobraba en especie (ordenador porttil,
telfonos mviles, ropa). Descubierto el traidor, sus patronos buscaron pruebas contra l mediante un detective
privado y una vez acorralado le ofrecieron un acuerdo: renunciar voluntariamente a su contrato y a todos los
derechos sociales que hubiera generado y devolver una cantidad a la empresa. En caso contrario, el empleado
se enfrentara a una querella penal y, tambin, a una campaa de desprestigio en su mbito profesional, de
modo que nadie confiase en l. Por supuesto, el ladrn de guante blanco cedi, pag lo que se le exiga y se
march. A nadie le interesaba un escndalo.

Un competidor dentro de la empresa

Las relaciones que se originan en el seno de una empresa tienden a generar un crculo de confianza que se
rompe cuando alguna de las partes infringe las reglas del juego y vulnera el principio de buena fe que debe regir
en dichas relaciones.
Cuando ese incumplimiento proviene del trabajador es probable que una de las motivaciones ms importantes
sea el nimo de lucro y que la deslealtad consista en el desarrollo de una actividad que resulte concurrente con
la de la empresa. Es lo que habitualmente se denomina un negocio paralelo, ya que el empleado no slo no
abandona su relacin con la empresa, sino que es posible que se aproveche de sus recursos y clientes.
Las empresas invierten poco en la prevencin de este tipo de actos de deslealtad. La inercia del da a da y la
confianza en que nunca pasa nada contribuyen a que persista un sentimiento generalizado de tranquilidad. El
Reglamento de Seguridad de la LOPD sent un precedente, al obligar a establecer un importante elenco de
medidas preventivas. stas tenan como objetivo la proteccin de los datos de carcter personal, pero al mismo
tiempo permitan proteger los activos inmateriales de la empresa que se hallasen en el mismo sistema
informtico en forma de ficheros de texto, hojas de clculo y bases de datos. Sin embargo, pocas empresas
disponen de una poltica de seguridad diseada desde la Direccin General y alineada con los objetivos
estratgicos de la empresa. El efecto disuasorio de unas normas internas que regulen y sancionen un uso
inapropiado de los sistemas informticos corporativos, unido a un programa de formacin continuada, ayudan
a sensibilizar al usuario sobre la gravedad de las acciones y omisiones que comprometen la seguridad del
sistema.
Resulta realmente paradjico que nos preocupemos de eventuales amenazas externas cuando el riesgo
proviene, en la mayora de los casos, del interior de ese crculo de confianza del que hablaba al principio. Tal
vez el riesgo de una conducta contraria a la buena fe por parte de un trabajador tiene su origen en la
continuada constatacin de que no existen medidas de seguridad ni controles que impidan actuar contra los
intereses de la empresa. El avance de las nuevas tecnologas, con la introduccin de soportes de informacin
miniaturizados y de redes inalmbricas en los entornos empresariales est aumentando ese riesgo. Las
compaas que no evolucionan en la misma medida en su capacidad de prevenir y detectar infracciones
contribuyen a aumentar el nivel de riesgo dentro e incluso fuera de sus sistemas informticos.

NOTA: esta investigacin se ha basado en una empresa editorial de revistas, pero es aplicable a cualquier empresa.

Riesgos directos en relacin con las personas que tienen acceso a informacin
confidencial
En relacin con las personas con accesos especiales, existen tres tipos principales de peligros que pueden
facilitar el espionaje corporativo.

Soborno: Es posible que los empleados reciban ofertas directas de agentes de inteligencia de otras
corporaciones, que ofrecen dinero en metlico a cambio de informacin confidencial o protegida.
Ingeniera Social: La manipulacin de un administrador de redes o de otras personas del departamento
de sistemas (ya sea por parte de personas de la propia corporacin o por parte de terceros) para que
divulguen informacin, como datos de inicio de sesin u otros datos de autentificacin, que pueden
usarse a continuacin para obtener el acceso a la informacin delicada.
Connivencia en Grupos: Cuando varios empleados se alan para usar sus conocimientos y privilegios
colectivos para obtener el acceso a la informacin.

Entre los mtodos utilizados para obtener los datos se incluye tambin el uso de los privilegios de acceso
propios del empleado, que pueden facilitarle el acceso a informacin protegida o confidencial. Por otro lado,
dado que los empleados tienen acceso fsico a la organizacin, pueden iniciar sesiones con la computadora de
otro empleado o robar una computadora porttil para tener acceso a otros recursos de la red. La intervencin
de las lneas de datos y la sustraccin de cintas de copia de seguridad son mtodos habituales de espionaje
fsico. Los espas pertenecientes a la organizacin pueden falsificar la informacin de otro usuario para solicitar
y obtener a travs de archivos adjuntos de correo electrnico la informacin que normalmente no recibiran
nunca. Otras tcnicas de ingeniera social, incluida la solicitud de cambios de informacin de inicio de sesin o
contraseas a travs de los centros de soporte de sistemas, hacindose pasar por otro usuario, o el uso
compartido de informacin de inicio de sesin entre empleados, facilitan el espionaje por parte de las personas
de la organizacin.

Motivaciones de los empleados desleales

Mtodos utilizados por espas corporativos internos de la empresa

Entre los mtodos ms frecuentes usados por estos espas tenemos:

NOTA: esta investigacin se ha basado en una empresa editorial de revistas, pero es aplicable a cualquier empresa.

Habladuras, jactancias y charlas descuidadas del personal.

Venta de informacin por un empleado desleal o corrupto.
Una persona infiltrada como "Caballo de Troya" por una empresa rival, como empleado.
Oferta de un importante cargo y remuneracin a un empleado o directivo, por parte de la empresa rival.
Escuchas, ambientales y/o telefnicas.
Intrusin y robo de informacin encubierto, como robo comn (para lo cual se "roban" algunos objetos
como cobertura).
Observacin, mucha informacin puede destilarse de la observacin de personas que entran y salen de
una empresa durante un periodo prolongado de tiempo.
Oferta ficticia de empleo a empleados de la empresa rival, como pretexto para efectuar profundas
entrevistas a los mismos.

Como proteger la informacin de empresas?

Por qu es importante proteger la

informacin en empresas?
Para procesar y difundir datos, la proteccin de los datos
personales se ha vuelto importante para mantener la confianza de
los clientes en una organizacin, para proteger la reputacin de una
organizacin, y para protegerse contra la responsabilidad legal.
Recientemente, las organizaciones se han vuelto ms cautelosas
sobre el riesgo de responsabilidad legal debido a la promulgacin
de muchas leyes federales, estatales e internacionales de
privacidad, as como mayores posibilidades de mal uso que
acompaa a la elaboracin y difusin de datos personales.
La escalada de violaciones de seguridad relacionada con
informacin personal ha contribuido a la prdida de millones de
registros en los ltimos aos. Robos que incluyan datos personales son peligrosos para individuos y
organizaciones. Los daos individuales pueden incluir el robo de identidad o el chantaje. Los daos en una
organizacin pueden incluir una prdida de confianza pblica, responsabilidad legal, o costos de remediacin.
A fin de proteger adecuadamente la confidencialidad de los datos personales, las organizaciones deben utilizar
un enfoque basado en riesgos.

NOTA: esta investigacin se ha basado en una empresa editorial de revistas, pero es aplicable a cualquier empresa.

Proteger la informacin es proteger el funcionamiento adecuado de la empresa, sobre todo en casos de fallo
informtico.
Asimismo, la proteccin de la informacin permite evitar prdidas financieras provocadas por la desaparicin
de archivos, bases de datos, balances financieros, etc.

Medios que utilizan los empleados desleales para el robo de informacin

La informacin crtica de una empresa puede salir por
varios medios. Adems de los discos compactos y DVD
y pendrives empleados, existen otras vas. Por
ejemplo, los e-mails que se envan los empleados a
cuentas
propias
de
correo,
con
archivos
adjuntos valiosos como planillas de clculo, planes de
negocio, prototipos, etc.
Por el crecimiento de almacenamiento sin control,
con una gestin de infraestructura desordenada y un
aumento en los robos y la preocupacin sobre su
privacidad.

Por ejemplo, que el 40 por ciento de los archivos

adjuntos en un e-mail poseen virus.
El otro principal medio, adems del e-mail, es
el almacenamiento de archivos en la nube, en
servicios
como
Dropbox
o
el
desaparecido Megaupload.
Sin embargo, el permetro de la compaa no est
dado slo por sus paredes y puertas, sino que
tambin cuentan los telfonos mviles inteligentes
y las tabletas que trabajan e interactan con los
sistemas de la empresa desde cualquier punto del
mundo, conectados a Internet.
Esta extensin de la frontera se ampla por la tendencia de traiga su propio dispositivo(BYOD, sigla en
ingls), donde los ejecutivos y empleados reclaman utilizar sus propios smartphones o tabletas con los
sistemas de la empresa.
No se usan contraseas ni se cifra la informacin que est en los telfonos y tabletas, Dan Molina, director
para Mercados Emergentes de la empresa de seguridad informtica Kaspersky, apunt ante iProfesional que el
foco tambin debe ponerse en los puntos de acceso a la nube y en los dispositivos mviles, cuyos usuarios an
carecen de una cultura de la proteccin de los datos, lo cual es aprovechado por los delincuentes informticos
El robo de informacin y la filtracin de datos confidenciales son noticia frecuente hoy en da. Importantes
organizaciones se han visto obligadas a informar al pblico respecto a documentacin privada de clientes que
ha sido comprometida.
La mayora de los casos de filtracin y robo de datos son atribuidos a personal interno y no siempre son
intencionadas. Mientras que las redes de la empresa estn generalmente protegidas por diversas aplicaciones
de seguridad, PCs y ordenadores porttiles (terminales) se dejan a menudo expuestos a amenazas internas.
Cualquier persona con acceso a estos equipos puede descargar fcilmente informacin confidencial o infectar
su Pc con virus u otros tipos de programas dainos (malware), utilizando dispositivos extrables como CD,
9

NOTA: esta investigacin se ha basado en una empresa editorial de revistas, pero es aplicable a cualquier empresa.

Memory Sticks e iPods. Estos dispositivos porttiles y medios extrables no controlados representan una seria
amenaza de seguridad.

Criterios para escoger un sistema de proteccin

Las organizaciones deben identificar todos los datos de
carcter personal que residen en su entorno: Una
organizacin no puede proteger adecuadamente los datos
personales si no se conocen. Datos de carcter personal
es "cualquier informacin sobre una persona que
mantiene una agencia, incluyendo cualquier informacin
que se puede utilizar para distinguir o rastrear la
identidad de un individuo, tales como nombre, nmero
de seguro social, fecha y lugar de nacimiento, o los
registros biomtricos, y cualquier otra informacin que
est vinculada o sea vinculable a un individuo, como
mdica, educativa, de informacin financiera y empleo".
Las organizaciones deben reducir al mnimo el uso, recoleccin y retencin de datos de carcter personal a lo
estrictamente necesario para cumplir con su objeto social y su misin. La probabilidad de dao causado por
una violacin que incluya datos personales se reduce considerablemente si una organizacin reduce la cantidad
de datos de carcter personal que utilice, recaude, y guarde.
Las organizaciones deben clasificar sus datos de carcter personal por el nivel de impacto de la
confidencialidad.
Los datos personales deben ser evaluados para determinar su nivel de impacto de confidencialidad.
Las organizaciones deben aplicar las garantas necesarias para los datos personales con base al nivel de
impacto de la confidencialidad.
No todos los datos personales deben ser protegidos de la misma manera. Las organizaciones deben aplicar las
medidas adecuadas para proteger la confidencialidad de los datos personales segn el nivel de
confidencialidad. Algunos datos de carcter personal no tiene que tener su confidencialidad protegidos, tales
como la informacin que la organizacin cuente con el permiso de dar a conocer pblicamente.
Las organizaciones deben desarrollar un plan de respuesta a incidentes para solucionar las infracciones que
incluyan datos personales. Las infracciones que incluyan datos personales son peligrosas para individuos y
organizaciones. El dao a las personas y organizaciones se pueden contener y reducir al mnimo mediante la
elaboracin de planes eficaces de respuesta a incidentes en caso de incumplimiento. Las organizaciones deben
desarrollar planes que incluyen elementos tales como la determinacin de cundo y cmo los individuos deben
ser notificados, como un incumplimiento debe ser reportado, y si se debe proporcionar servicios de
recuperacin, como la vigilancia de crdito, a las personas afectadas.
Las organizaciones deben favorecer una coordinacin estrecha entre sus responsables de proteccin de datos,
altos funcionarios de la agencia de privacidad, los directores de informacin, principales agentes de seguridad
de la informacin, y asesora legal para abordar las cuestiones relacionadas con los datos personales.
La proteccin de la confidencialidad de los datos personales requiere el conocimiento de sistemas de
informacin, seguridad de la informacin, privacidad, y los requisitos legales. Las decisiones relativas a la
aplicabilidad de una ley particular, la regulacin, u otro mandato debe hacerse en consulta con el asesor legal
de la organizacin y el responsable de privacidad debido a las leyes, reglamentos y otros mandatos que, a
menudo son complejos y cambian con el tiempo.

10

NOTA: esta investigacin se ha basado en una empresa editorial de revistas, pero es aplicable a cualquier empresa.

E
Es importantte selecciona
ar las solucio
ones o herram
mientas de p
proteccin d
de informacin que se ad
dapten ms a
laas necesidad
des de la emp
presa.
P
Por lo genera
al, la eleccin
n de la herramienta de proteccin eest ligada aal volumen d
de la inform
macin que se
e
d
desea protegeer y al tama
o de la red de
d la empressa.
Aqu le preseentamos allgunos critterios para
a la elecccin de lla herramienta de proteccin::
Velo
ocidad de almacenam
a
miento: mieentras mayor sea el volu
umen de infformacin y el nmero de usuarioss,
mayo
or deber seer la velocid
dad (frecuencia) de alma
acenamiento
o. Contar co
on una velocidad adecu
uada permite
e
evitarr la prdida de datos.
Paraa un nmero
o de usuario
os superior a 10 es preeferible utiliizar un sisteema de protteccin auto
omtica (Ej.:
serviidores).
Fiab
bilidad del soporte (copia de segu
uridad) y faccilidad de uso
o:

La vida til
del soporrte (copia dee seguridad) debe compeensar o justifficar su preccio.
Es importante cono
ocer cmo est
e
organizada la inforrmacin en la copia dee seguridad
d para poder
restaurarrla rpidameente.
La copia de seguridad de su emp
presa debe seer fcil de maanejar o adm
ministrar.
Segu
uridad: los datos almaccenados en la
l copia de seguridad
s
deeben estar eencriptados, sobre todo ssi se trata de
e
una copia de seg
guridad on-liine.
Com
mpatibilida
ad: comprueebe que su co
opia de seguridad sea co
ompatible co
on Windows,, Apple y Lin
nux.

Sensibilidad al
a ambiente
e: algunos siistemas de seeguridad fsiicos (disco d
duro externo
o, lector de b
banda)
pued
den ser afecttados por el calor,
c
por el polvo, por un
u golpe, etcc.

Tip
pos de co
opia de s eguridad
d
uridad com
mpleta: pro
otege toda la
a
Copi a de segu
in
nformacin de un disco duro.
emental: p
protege todos
Copi a de segurridad incre
lo
os elemento
os que han ssido modificcados desdee la copia de
e
seguridad an
nterior.
uridad differencial: protege los
Copi a de segu
archivos
a
quee han sido m
modificados d
desde la ltiima copia de
e
seguridad co mpleta.

11

NOT
TA: esta inve
estigacin se ha basado en
n una empres
sa editorial d
de revistas, pe
ero es aplicab
ble a cualquiier empresa.

Como proteger la informacin en empresas?

Para afrontar esta amenaza, es de suma importancia que las organizaciones cuenten con herramientas
como Secured eDevice de CryptZone que permite proteger su informacin contra el robo y uso indebido,
impidiendo la filtracin de datos y el acceso no autorizado a todo tipo de dispositivo o interfaz que pueda llegar
a ser usado para comprometer la integridad del activo ms importante de una empresa: La informacin.
Secured eDevice es una solucin a nivel de empresa para controlar, monitorizar y registrar cmo se carga y
descarga informacin en los ordenadores o terminales. Mediante la implementacin de una poltica de control
de acceso a terminales para dispositivos porttiles y medios extrables, la solucin deeDevice impide
eficazmente el uso no autorizado de datos de la empresa. eDevice, se instala y administra de forma
centralizada. Los administradores de seguridad definen directivas que se distribuyen automticamente a los
terminales. Estas directivas se hacen cumplir y todos los eventos relevantes se reportan al Management Server.
Una rigurosa integracin con los directorios y sistemas de gestin de la empresa facilitan la instalacin y hacen
posible un detallado registro y una gran potencia de generacin de informes.
Secured Device protege eficazmente sus datos:
CONTROLANDO y monitorizando la forma en que se descarga la informacin en las terminales.
DEFENDIENDO su red contra malware copiado a las terminales desde medios extrables y
dispositivos porttiles.
ASEGURANDO su red contra la exposicin al mundo externo a travs de mdems inalmbricos, Wifi,
Bluetooth y otros interfaces.

Otras prevenciones para evitar que usuarios o empleados roben o daen

nuestra informacin:
1. Contar con sistemas que nos protejan de virus, spyware y otro cdigo malicioso. Disponer de un
antivirus actualizado es fundamental hoy en da.
2. Securizar la conexin a Internet. Es muy importante contar con un cortafuego entre Internet y la red
interna de la organizacin.
3. Instalar y activar cortafuegos en todos los sistemas de la organizacin. Si utiliza sistemas Windows
asegrese de que el cortafuego est disponible.
4. Mantener el software actualizado: Los sistemas operativos y otros productos instalados en los sistemas
deben tener actualizados los ltimos parches de seguridad.
5. Haga copias de seguridad de la informacin importante del negocio. Sus documentos, sus hojas Excel,
sus bases de datos pueden perderse y causar un grave perjuicio en la organizacin. Es importante
automatizar esta tarea y probar con frecuencia que estas copias se realizan correctamente.
6. Controle el acceso fsico a sus oficinas y proteja sus PCs y especialmente los porttiles del robo
(utilizando candados para anclarlos a mesas, por ejemplo).
7. Securice su punto de acceso wifi: Existen multitud de medidas para mejorar la seguridad de su red wifi.
Cambiar la encriptacin a WPA, tenga en cuenta que la encriptacin WEP, utilizada en la mayora de los
routers, no es segura.
8. Conciencie a sus empleados de la importancia de la seguridad para la organizacin y explqueles lo que
las polticas de seguridad de su empresa establecen respecto al uso de los PCs, las redes, el correo
electrnico, etc.
9. Limite el acceso a la informacin de los usuarios. No conceda acceso ilimitado a los usuarios sino
nicamente a la informacin que realmente necesiten.
12

NOTA: esta investigacin se ha basado en una empresa editorial de revistas, pero es aplicable a cualquier empresa.

10. Limite los privilegios de los usuarios para instalar software en las mquinas.

Proteccin de la informacin en la pc y en discos externos

Si su empresa cuenta con pocos ordenadores, entonces usted
puede programar una copia de seguridad directamente en su
PC (vase el artculo: Windows XP: puntos de restauracin). Al
mismo tiempo, usted tambin deber guardar la informacin
en un soporte removible (DVD, USB, disco duro externo).
Ventajas: usted podr trasladar fcilmente la informacin
protegida.
Desventaja: el punto de restauracin no garantiza la proteccin
de su informacin personal. Adems, copiar la informacin en
un soporte removible toma tiempo.

Proteccin de la informacin en el
servidor de la empresa
Instalar un servidor (para ms de 5 PC) permite disminuir el riesgo de prdida de archivos. El servidor cuenta
con un lector de banda magntica que se encarga de copiar y proteger informacin todos los das.
Ventaja: las copias de seguridad son automticas y estn encriptados. Usted
puede proporcionar a sus colaboradores las claves de acceso a los archivos
almacenados en el servidor. El costo demuestra la fiabilidad del equipo o
material.
Desventaja: la proteccin o copia de la informacin no siempre se realiza en
tiempo real (riesgo de prdida de informacin). Es posible que se requieran
ciertas competencias tcnicas para poder restaurar la informacin.

Proteccin en lnea
Se trata de la creacin de una copia de seguridad en internet. Su ordenador/red deber estar conectado a un
servidor lejano que copie la informacin en tiempo real o un poco despus.
Ventajas: la copia de seguridad es creada casi de forma sincrnica al archivo (en caso de una fallo o problema,
la prdida de informacin es mnima). La administracin de los datos en lnea (clasificacin, recuperacin) es
relativamente simple (cdigos de acceso conocidos por los administradores escogidos). Adems, este tipo de
proteccin permite almacenar un gran volumen de informacin (1000 Gb o ms).
Desventajas: el tiempo empleado para la recuperacin de la informacin puede ser muy largo (todo depende
de su conexin y del volumen de informacin). La proteccin y la recuperacin de la informacin son
imposibles si la conexin de internet es interrumpida. La tarifa de este servicio de proteccin en lnea puede ser
muy elevada.
Como sabemos en la actualidad en Internet los clientes y su informacin brillan como oro, y cuando los piratas
descubren este oro, se crean muchos problemas. Una vez que la informacin del cliente o empleado se ve
comprometida, ellos, estn en un grave riesgo de un robo de identidad y tu empresa perder toda confianza.
As que lo mejor es seguir estos pasos para proteger la seguridad informtica en tu empresa. Debemos tomar en
cuenta que los administradores de la empresa tienen la obligacin o responsabilidad de proteger la informacin
personal de los clientes que se va adquiriendo.

13

NOTA: esta investigacin se ha basado en una empresa editorial de revistas, pero es aplicable a cualquier empresa.

Lo q
que nos dicee que en esto
os das, cuallquier empresa necesitaa implementtar las mediidas que seaan necesarias
paraa garantizar la
l informacin del clientte ante las am
menazas en lnea.
Totaalmente con
ntrario a lo que suele pensarse
p
qu
ue la mayorra de los ssistemas info
formticos p
pueden estar
comp
prometidos o hackead
dos. Y cm
mo puede ser
s
esto possible? Mediiante una sserie de acctos audaces
perp
petrados por Genios Infformticos ante
a
el cual gran
g
parte d
de empresas se encuentran indefensaas.

Pollticas
Poltticas de vaccaciones. Deb
bes asegura
arte de que en los per odos vacaciionales en d
donde los em
mpleados se
e
descconectan y no tienen a la mano su escrito
orio, tengaan sus dato
os a dispossicin del ssupervisor o
adm
ministrador, ya
y que en tan
t
solo una
a o dos sem
manas se pu
ueden produ
ucir fraudess internos, ssi no existen
n
med
didas y personal preparad
do.
Las aauditorias so
orpresas. Co
on stas pod
drs detecta
ar y preveniir o limpiarr los posiblees fraudes d
dentro de tu
u
empresa; as mismo puedes detectar y evitar
e
que tu
us fondos no
o se puedan manipular antes de quee realices las
revissiones financcieras progra
amadas.
Apro
obaciones por duplicad
do. Debes im
mplementar en los pro
ocesos bancaarios las ap
probaciones duales para
a
operraciones ban
ncarias como
o las transfeerencias y lo
os pagos; con
n esta impleementacin tan sencilla reducirs al
a
mniimo posible algunos rieesgos de fra
aude. Tu em
mpresa puedee tambin p
pedir ms aaprobacioness adicionales
antes de que un nuevo clien
nte o vended
dor sea aad
dido a un sisstema especiifico de de p
pago, tambin es posible
e
usar bloques de dbito y alertas com
mplementaria
as para de eesta forma rreducir el riiesgo ante p
pagos que no
o
estn
n no autoriza
ados.

Con
ntrasea
as
Conttraseas ocu
ultas: La con
ntrasea mss robusta del mundo quee puedas im
maginar no va
proteeger tus cuentas de emp
presa si un hacker
h
tiene la
l posibilidaad de leerla d
de un trozo
de p
papel que ha
as escondid
do en cajn
n de tu oficin
na; debes dee guardar d
de la mejor
form
ma tu contrassea.

Conttraseas pocco robustas. Estos hackeers a da de hoy

h disponeen de ms po
oder que
nuncca para el prrocesamiento
o requerido al descifrar contraseass. Debes de u
utilizar e
impllementar, una combina
acin lo m
s compleja
a posible co
ompuesta dee letras,
smb
bolos y nmeros para qu
ue de esta manera
m
al menos se lo p
pongas lo ms difcil
posib
ble.
Lo m
mejor es qu
ue te preve
engas y siga
as estos pa
asos:
1. Realiza actu
ualizaciones de contrase
as y de todo el softwaree habitualmente.
2. No bajes la guardia en el
e tema de la
a suplantaci
n en lnea.
3. Implementa
a y toma las medidas neccesarias para asegurar tu
u red Wi-Fi..
4. Cifra todos los posibles datos sensib
bles.
5. Establece e implementa
a la debida poltica
p
de seeguridad de T
TI.
Debees de tomarr en cuenta
a que como cada emprresa es diferrente, los m
medios de so
oporte adm
ministrativo y
operracional y su
us necesidadees son difereentes, no es posible
p
adop
ptar solucion
nes completaas, pero si seervirn como
o
puntto de partida para mejo
orar la segurridad y la prroteccin dee los datos, capacita a ttus emplead
dos mediante
e
curso
os y realiza actividades relacionada
as con las amenazas
a
dee fraude; estto sin duda te ayudar a minimizar
todaas esas prdid
das econmiicas que se producen
p
cuando ocurreen este tipo d
de fraudes.

Pollticas, ttecnolog
ga y em pleadoss
Las polticas y las tecnolog
gas deben ponerse
p
en prctica paara protegerr la informaacin confid
dencial de la
a
empresa. Estos controles tieenen que garantizar la capacidad
c
dee obtener in
nformacin ssobre la red,, as como la
a
oporrtunidad de manejar loss datos que entran y salen de la em
mpresa. Si b
bien las poltticas y la tecnologa son
n
14

NOT
TA: esta inve
estigacin se ha basado en
n una empres
sa editorial d
de revistas, pe
ero es aplicab
ble a cualquiier empresa.

ciertamente una parte crtica de cualquier programa de Seguridad de la Informacin, estas medidas por s solas
no pueden ofrecer la suficiente seguridad en la prctica.
La concienciacin de los riesgos, y las protecciones disponibles son la primera lnea de defensa para la
seguridad. Los empleados son el permetro real de la red de la organizacin y su comportamiento es un aspecto
vital de la seguridad. La proteccin de las organizaciones comienza con asegurarse de que los empleados
comprendan sus funciones y responsabilidades en la proteccin de los datos sensibles y la proteccin de los
recursos de la empresa, y ayudar a la organizacin en el mantenimiento de los equipos y de seguridad de la red.

Medidas generales de Seguridad de la informacin en una empresa

La proteccin de la informacin es, hoy, vital para la supervivencia de cualquier organizacin. Esto no es un
secreto. Sin embargo, descuidamos esta faceta de nuestra seguridad, regalando oportunidades, a cualquiera
que quiera saber algo de nosotros. Estamos acostumbrados a tener alarmas, cerraduras, etc. para proteger
nuestros bienes, pero descuidamos lamentablemente, la proteccin de algo intangible, pero ms importante,
nuestra intimidad.

Lugar de trabajo
El centro en el cual confluye ms de 90% de la informacin que manejamos es nuestro propio lugar de trabajo
y, por ello, merece ocuparse de l en primer lugar.
Las principales normas a tener presente en este apartado son las siguientes:

La sala debe reunir unos requisitos mnimos de aislamiento acstico que impidan la escucha desde el
exterior de conversaciones mantenidas en el interior. Esto incluye acristalamiento doble y paneles o
paredes aisladas. En caso de que la sala linde con finca vecina, debe preverse una cmara de aire entre
el panel interior y la pared. El panel interior debe tener aislante acstico y ser practicable para la
inspeccin de la cmara. Debe disponer de cortinas y cerradura interior de las ventanas, en el caso de
que stas sean practicables.
Asegrese, a travs de personal de mantenimiento, de que no hay cableado intil en paredes y falso
techo. Puede ser fcilmente utilizado como portador de seal. En caso de instalaciones de reserva
(habitual en modernas instalaciones de redes de voz y de datos), verifique que los conductos de
canalizacin son seguros.
Tenga siempre cerradas las cortinas.
No utilice ni interfonos ni telfonos inalmbricos y, en caso de que el uso de los mismos sea
imprescindible, adquiralos de tecnologa digital de transmisin.
Disponga de cerraduras seguras en todas las puertas, armarios y cajones. Si maneja documentos
especialmente sensibles, adquiera una caja de seguridad para almacenar los mismos. Dichas llaves
debern estar en su poder y, en caso necesario, en el de su secretaria o colaborador de confianza. En
previsin de emergencias, entregue una copia al responsable de seguridad, dentro de un sobre de
seguridad cerrado y con su firma en la unin de la solapa con la bolsa, para su depsito en una caja de
seguridad.
Slo deben tener acceso a nuestro despacho personas de la propia organizacin. Las visitas de terceros
es conveniente atenderlas en salas especialmente previstas para ello. Adems, instruya al personal de
limpieza para que revise y adecue la sala inmediatamente despus de cada uso. Dichas salas deben
carecer de telfonos enlazados a lneas directas y, en la medida que el sistema lo permita, slo deben
poder realizar llamadas a extensiones interiores (sin perjuicio de que puedan recibir, transferidas,
llamadas externas).
Autorice el acceso a su despacho, en su ausencia, a una nica persona de confianza (p.e. su secretaria).
En caso de que, en su ausencia, algn colaborador precise de algn documento, sta ser la encargada
de entregarlo.

15

NOTA: esta investigacin se ha basado en una empresa editorial de revistas, pero es aplicable a cualquier empresa.

Al abandonar el despacho, no deje ningn documento accesible. Durante su ausencia, personas sobre
las cuales no tiene ningn control accedern al mismo (personal de limpieza, mantenimiento,
seguridad, etc.). No presuponga ni la integridad ni la capacidad de estas personas, no todas tendrn su
inteligencia y formacin para discernir la bondad o maldad de una determinada conducta. Una prctica
til en este aspecto es disponer de un estante en uno de sus armarios, exclusivamente para depositar en
el mismo los documentos existentes sobre su mesa en el momento de salir. Instruya a su secretaria o
colaborador de confianza a que, antes de salir y en caso de ausencia de usted, revise que no queden
papeles accesibles.
En su ausencia, los armarios y cajones debern quedar cerrados.
Disponga de destructora de documentacin, de prestaciones adecuadas al volumen de los documentos
que maneja. Escoja una que disponga de entrada de objetos al depsito y elimine las papeleras, as
estar seguro de que cumple la norma de destruir todo papel desechado. Disponga lo mismo para su
secretaria.
Desconfe de los regalos. La forma ms fcil de introducir un micrfono emisor en su oficina es
introducindolo en un objeto de regalo. En todo caso, verifique por personal especializado (a travs del
responsable de seguridad) su inocuidad. Bajo ningn concepto conecte a la red elctrica o telefnica
equipos que le hayan sido regalados (desconfe especialmente de un telfono mvil, se pueden "trucar"
de varias maneras).
En zonas de despachos panelables, no reciba visitas. Es muy fcil que esa persona vea o escuche algo
que no debe. Disponga de otro local, donde se recibe, y no se pueda llevar, ms que lo que usted le
quiera dar.
Instale una alarma, conectada a Central Receptora, con detectores de humo (no olvide el riesgo del
fuego), y mejor con cmara de TV, para que desde la Central sepan lo que est pasando cuando se
dispara la alarma.

Proteja la informacin
Sea cauto en sus conversaciones con colegas en firmas competidoras. Usted nunca podr valorar de forma
segura hasta qu punto una informacin puede o no ser valiosa para una empresa competidora. Conocer la
existencia de un proyecto descartado, aunque puede no parecerlo, tiene una extraordinaria importancia: da
una idea de la actividad de una empresa en materia de innovacin, afianza la conclusin de que una idea es
digna de tenerla presente y estudiarla, permite prever posibles actuaciones futuras, etc. Si, adems,
comentamos por qu lo hemos descartado, la informacin (y los beneficios de conocerla) se multiplican.
Tengamos presente, adems, que comunicar determinados detalles o informaciones es la mejor forma de crear
confianza en nuestros interlocutores. Dejar que terceros conozcan estos detalles les permite crear la apariencia
de una condicin que nunca hemos querido darles.

Uso del telfono

La comodidad que representa el telfono hace que por el mismo circule la mayor parte de la informacin que
conocemos. No obstante, es un sistema de comunicacin altamente vulnerable: se puede pinchar en todo el
recorrido de la lnea (tanto interna como externa), el emisor se puede alimentar de la propia lnea y la escucha
se puede realizar a distancia con total impunidad.
Obviamente, no puede usted prescindir del telfono, pero s tomar una serie de precauciones que inutilicen en
gran medida todo intento de intromisin.
Nunca utilice lneas directas al exterior. Aunque su extensin tenga asignado un determinado nmero
entrante, haga programar la centralita para que la asignacin de lneas salientes sea aleatoria. De esta
forma, para acceder a sus comunicaciones desde el exterior ser preciso pinchar todos los enlaces de la
empresa.
En la medida de lo posible, haga instalar lneas RDSI, o similares de transmisin de seal digital.
Aunque existen equipos capaces de interceptar dichas lneas, su disponibilidad es mucho menor que los

16

NOTA: esta investigacin se ha basado en una empresa editorial de revistas, pero es aplicable a cualquier empresa.

de lneas analgicas (pero el que disponga de tecnologa adecuada, podr hacerle multitud de ataques,
imposibles en las lneas analgicas)
Sea especialmente reservado cuando utilice telfonos mviles (incluidos los GSM). Es el sistema ms
vulnerable y que ofrece mayor impunidad. Evite dar nombres o datos cuando hable por el mvil y limite
su uso a casos de estricta necesidad. No facilite su nmero mvil ms que a su secretaria de confianza,
responsable de seguridad y personal directivo: en caso de necesidad, su secretaria puede transferirle
directamente las llamadas urgentes recibidas en su oficina. Active la ocultacin del nmero propio (slo
posible en GSM). Utilice un telfono o tarjeta independiente para asuntos personales. Debe saber,
adems, que el GSM, informa al sistema del lugar geogrfico en que usted se encuentra, simplemente
por el hecho de estar conectado.
En momentos de especial sensibilidad de los asuntos que deba tratar, adquiera para su telfono mvil
una tarjeta pre-pago, adquirida en efectivo. Posteriormente, desviamos nuestro nmero habitual al
nuevo, y la gente que nos llame, no tendr que saber el nmero donde se ha desviado. La tarjeta es el
nico identificador del equipo y, sin poderla vincular a travs de pagos por domiciliacin bancaria o
tarjeta de crdito, difcilmente ser conocida por terceros.

Seguridad informtica
En nuestros ordenadores se concentra la prctica totalidad de la informacin que elaboramos. Adems, hoy en
da es un medio habitual de comunicacin. La utilidad del ordenador para almacenar y procesar informacin
tiene, como contrapartida, la concentracin de la misma en un nico archivo de escaso tamao. Antao, para
apropiarse de los secretos de otro haba que examinar y sustraer un considerable volumen de documentacin.
Utilice un programa de control de acceso y cifrado automtico de datos sensibles (SAFE Data BECKER
o similares). Los controles por contrasea de los sistemas operativos al uso no cumplen de forma eficaz
con esta misin y son altamente vulnerables. Adems, no protegen la informacin frente ataques
directos al soporte fsico de la misma (generalmente, el disco duro) . Con los porttiles, esto es
imprescindible, por lo fcilmente que se pueden "distraer" en cualquier desplazamiento. El cifrado es
especialmente importante cuando se trabaja en red, ya que determinados programas, permiten ver
todos sus archivos, desde cualquier otro PC conectado a la red (Estos programas estn en las revistas
especializadas y en Internet, gratuitamente) . O para el caso del correo electrnico, que es muy
vulnerable.
Utilice contraseas seguras. Palabras, nombres, fechas o secuencias de nmeros son fcil y rpidamente
comprobadas a la velocidad actual de proceso de los equipos. Una contrasea mnimamente segura se
compone de un mnimo de 8 caracteres mezclando maysculas, minsculas, nmeros y signos
especiales. Y por descontado, crelas usted, no el Dept. de Informtica
Realice siempre copias de seguridad. Si le roban el equipo, o sufre alguna avera, podr recuperar su
trabajo. Almacnelas, eso s, en lugar suficientemente seguro.
Active utilidades de cifrado en sus mensajes de correo electrnico (recomiendo el PGP, de uso muy
extendido) incluso dentro de la propia red corporativa. Todos los sistemas de correo (internos o
externos) estn basados en el almacenamiento de los mensajes en un equipo servidor y un operador con
autorizacin suficiente (por clave propia o mediante clave ajena conocida) a los que se podra acceder a
los buzones de mensajes sin que usted ni el destinatario lo supieran. No presuponga que el
departamento de informtica es seguro: probablemente lo es, pero usted no puede saberlo (de todas
maneras, piense que el correo electrnico se comporta all por donde va pasando como un sobre
transparente y si alguien quiere, lo puede leer). Utilice direcciones de correo electrnico annimas,
gratuitas y de un solo uso, para los documentos delicados (el servidor de correo de la empresa, para el
Dpto. de Informtica, es transparente).

Seguridad Corporativa
Todas las normas anteriores sern ineficaces si no son observadas por los miembros de su equipo de trabajo y
por el resto de los directivos. Instryales sobre la importancia de la seguridad y control en el tratamiento de la
17

NOTA: esta investigacin se ha basado en una empresa editorial de revistas, pero es aplicable a cualquier empresa.

informacin. Distribuya copias de este documento. Mal se pueden tomar medidas de seguridad, cuando se
ignora su lgica.
Realice peridicamente "limpiezas", pero especialmente en pocas de crisis. Los "malos" no quieren ser
descubiertos, y por lo tanto, es posible que no lo intenten, si saben que se hacen revisiones.
Valore la oportunidad de elaborar una poltica global de seguridad por profesionales expertos. Esto permitir
identificar zonas sensibles, redefinir circuitos y, en resumen, establecer unas normas comunes adaptadas al
grado de inters que la informacin de una empresa pueda despertar en terceros.
La seguridad es un aspecto vital para toda empresa (y muy rentable). Lamentablemente, su utilidad slo se
puede valorar cuando no existe y algo ocurre.
Es imprescindible que alguien asuma las funciones de coordinacin de seguridad. Slo as se puede permitir
que hechos aislados lleguen a un mismo centro de anlisis y toma de decisiones.
Antes de descartar una determinada prctica por la incomodidad que representa, valore los riesgos que est
asumiendo. Nunca podr valorar de forma efectiva el nivel de seguridad de su sistema. En el mejor de los casos,
lo nico que podr saber es que es insuficiente... pero entonces ya ser tarde. Por ello, no permita que su
equipo se relaje por la ausencia de incidencias: puede que no las haya habido precisamente por las medidas
seguidas hasta ese momento.

Plan de respuestas a incidentes

1. Como recuperara los datos robados, daados, perdidos?
Para la recuperacin de archivos la eleccin correcta de una compaa profesional es la decisin ms
importante. Cuando ocurre una prdida de archivos, sea cual sea la causa: virus, soporte formateado,
disco daado, borrado de archivos, sabotaje, incendios, inundaciones, mecnica averiada, bloqueo del
sistema, particionalmente; si ha sufrido daos en la superficie de los platos, picos de tensin, golpes...
Es muy importante para recuperar archivos, que nunca deje sus discos en manos inexpertas ya que la
recuperacin de un archivo exige personal altamente calificado y materiales especficos.
2. Recuperacin de un sistema afectado:
Mientras la respuesta a incidentes est en progreso, el equipo CERT debera estar investigando al
mismo tiempo que trabajando en funcin de la recuperacin de los datos y el sistema.
Desafortunadamente, es la naturaleza de la violacin lo que dicta el curso de la recuperacin. Tener
sistemas redundantes o respaldos de datos fuera de lnea, es invalorable durante estos momentos. Para
recuperar sistemas, el equipo de respuestas debe colocar en funcionamiento cualquier sistema cado o
aplicaciones, tales como servidores de autenticacin, servidores de bases de datos y cualquier otro
recurso de produccin
3. Acciones legales contra un empleado:
Cuando la empresa descubre que un empleado suyo ha estado sustrayendo dinero o bienes de la
empresa, debe proceder de acuerdo a la ley, de lo contrario podr tener serios inconvenientes legales y
seguramente no podr recuperar los bienes perdidos.
4. Imagen y reputacin de la organizacin:
Es claro que para que una organizacin pueda crecer en su mercado, existen slo dos opciones
generales para hacerlo: generar ventas con nuevos clientes y/o generar mayores niveles de ventas con
los clientes actuales.
La gente perdona casi cualquier cosa, excepto una negligencia grave, la crueldad y arrogancia, y sobre todo la
falta de tica. Si la gravedad lo amerita, la Junta de Accionistas debera reemplazar al manager que estuvo

18

NOTA: esta investigacin se ha basado en una empresa editorial de revistas, pero es aplicable a cualquier empresa.

involucrado en la crisis. Frecuentemente es la condicin sine qua non para reganar la credibilidad y confianza
de los pblicos
a) El (nuevo) CEO debe conceder el derecho a enojo de los pblicos y pedir disculpas pblicamente,
mostrando empata, un remordimiento sincero y actuando en consecuencia (a sabiendas de que ello
ser insuficiente)
b) Debe aclarar los hechos que generaron la crisis, proporcionando toda la informacin necesaria en forma
peridica y actualizada, eventualmente en ruedas de prensa y en el sitio web de la compaa.
c) 4. Debe comprometerse a que la empresa ser un mejor ciudadano corporativo, remediando el
problema, resarciendo a los perjudicados y garantizando que algo como lo que motiv la crisis no
volver a ocurrir. Eventualmente debe considerar encarar un proceso de cambio cultural. No debe hacer
promesas que no est seguro de poder cumplir.
d) Si el origen de la crisis ha sido un fraude, soborno u otro motivo relacionado a una falta de tica, la
empresa debe contratar una agencia externa independiente para realizar una auditora forensica y
cooperar intensamente con las autoridades involucradas en la investigacin del caso. El rea de
Compliance debera ser reforzado, tanto en trminos de recursos como de atribuciones.
e) Todos los sistemas de deteccin temprana de riesgos deben funcionar como un reloj para prevenir
efectos secundarios de la crisis que pudieran generar nuevos incidentes.
f) La empresa debe dejar pasar tiempo prudencial antes de reaparecer (aumentar el perfil) nuevamente. Si
hay causas legales con repercusin meditica debiera esperar el desenlace del juicio antes de reiniciar
su comunicacin poltica (no-comercial).
g) Mientras eso sucede, debe basar su relacin con los pblicos externos en la comunicacin comercial
apoyada en aquellos aspectos de la empresa que quedaron al margen del dao reputacin.
Frecuentemente se trata de la imagen de sus productos.
h) Cuando el motivo de la crisis est cayendo en el olvido y las acciones posteriores de la empresa para
mejorar su posicionamiento ya son reconocidas, se debe reiniciar el dilogo con todos los stakeholders
para recuperar la confianza y credibilidad perdida.
i) Cuando la empresa haya recuperado sus fortalezas en el mercado es conveniente realizar una campaa
institucional (comunicacin poltica) amplia y masiva poniendo nfasis en los nuevos valores de la
organizacin.

Deteccin de incidentes de seguridad informtica

Toda empresa debe de contar con un servicio de seguridad informtica, el cual le de una serie de reportes cada
cierto tiempo sobre el manejo de informacin dentro de la empresa y, de esta manera, detectar algn empleado
desleal.

Auditora Informtica

19

NOTA: esta investigacin se ha basado en una empresa editorial de revistas, pero es aplicable a cualquier empresa.

Un equipo de especialistas en seguridad informtica evaluar el estado de sus sistemas, tanto a nivel interno
como externo, as como el del sitio web, aplicaciones y bases de datos de su empresa.
Segn las necesidades de cada cliente, los servicios prestados podrn ser los siguientes:

Auditora de seguridad interna: anlisis de los riesgos existentes en el sistema de su empresa, que
tengan origen en el interior de la red corporativa.

Auditora de seguridad externa: estudio de las

vulnerabilidades del sistema de red corporativo, que
puedan facilitar el acceso al sistema informtico de la
empresa un usuario no autorizado.

Auditora de seguridad del Website de la empresa:

comprobacin de la existencia de puntos dbiles que
puedan
ser
aprovechados
por
un
usuario
malintencionado con fines no autorizados.

Deteccin de virus, amenazas, spyware, rats, adware.

Informe sobre el estado actual del sistema y recomendacin de soluciones en caso de que alguno de los
test sea positivo.

Implementacin de Soluciones de Seguridad, incluyendo el desarrollo de parches y aplicaciones de

seguridad para que la empresa proteja su informacin y cumpla con las obligaciones exigidas por la
normativa vigente en materia de Proteccin de Datos de Carcter Personal.

Seguridad Informtica Permanente de los recursos informticos de la empresa y/o del Sitio Web
corporativo, a travs de sofisticados programas de seguimiento, y deteccin de amenazas de intrusiones
externas que puedan poner en peligro la informacin de la empresa.

Peritaje Informtico Forense

Un equipo de expertos en informtica forense le proporcionar el asesoramiento
tcnico necesario para que pueda emprender las acciones legales oportunas, y
siempre que sea necesario todos nuestros Informes Periciales sern ratificados por
los Peritos ante los Tribunales correspondientes.
Un equipo de especialistas en peritaje informtico con experiencia en el mbito de
la informtica forense ofrece a una empresa algunos de los servicios ms
habituales:

Casos de Competencia Desleal: Investigacin sobre archivos borrados y/o

robados. Detectar quien ha robado/borrado informacin, cmo y cundo lo
ha hecho.

Uso indebido del material informtico: Actividades extra laborales ejercidas por trabajadores dentro
del horario laboral; uso de aplicaciones no permitidas

Empleados Desleales: Deteccin de accesos no autorizados o vulneracin del deber de confidencialidad

y secreto que deben guardar los trabajadores de una empresa.

Certificacin de autenticidad de mensajes de correo electrnico: Para aportar como medios de pruebas
ante un Tribunal de Justicia en casos de conflictos laborales, etc.
20

NOTA: esta investigacin se ha basado en una empresa editorial de revistas, pero es aplicable a cualquier empresa.

Certificacin de aplicaciones: Certificacin del cumplimiento o incumplimiento de los requisitos

tcnicos de un determinado proyecto de software en base a lo contratado.
Contra informes: Se analiza la pericial presentada por la parte contraria en un proceso judicial y se
presenta un contra informe en el que rebatimos y/o completamos las conclusiones de aquella.
Casos penales: Recopilacin de elementos probatorios, o elaboracin de Dictmenes Periciales en casos
de: Descarga y distribucin de pornografa infantil, Phishing, Estafas, Delitos Informticos, etc.

Informe pericial sobre un dispositivo electrnico

Se trata de la modalidad ms demandada de Informe Pericial
Informtico, y es aquella en la que el Perito Informtico lleva a
cabo una investigacin sobre uno o ms dispositivos de
almacenamiento electrnicos.
Adoptando las medidas necesarias que asegurarn que se
mantenga la cadena de custodia de los dispositivos implicados, el
Perito llevar a cabo una investigacin sobre los mismos. A lo
largo del proceso, el Perito obtendr aquellos datos necesarios
para dar respuesta a las solicitudes del cliente:
El usuario ha borrado archivos? Cundo?
Se ha copiado o enviado informacin confidencial fuera de la
empresa?
Es autntico un determinado mensaje de correo electrnico?
Est siendo espiada nuestra empresa?

21

NOTA: esta investigacin se ha basado en una empresa editorial de revistas, pero es aplicable a cualquier empresa.

Tras la investigacin, el Perito elaborar un Informe Pericial, el cual una vez firmado tendr validez como
prueba ante un Tribunal de Justicia.
En caso necesario, el Perito acudir al Tribunal para ratificar su Informe Pericial Informtico.

Reducir vulnerabilidades que conducen a la sustraccin de informacin

Entre las vulnerabilidades de una red que podran conducir a fugas de informacin se
encuentran la presencia en la Web, el correo electrnico y las actividades de los
usuarios en Internet, su intranet y los privilegios de acceso. A pesar de que no afectan
directamente al departamento de sistemas, tambin pueden usarse mtodos fsicos,
como la sustraccin de computadoras porttiles y la intervencin de lneas de datos.
Con el fin de protegerse del uso indebido o la fuga accidental de informacin interna
hacia los espas externos a travs de la red, la corporacin debe evaluar y clasificar los
activos de informacin y disear normas de implementacin y soluciones que
permitirn reducir el acceso no autorizado a esos datos.
Las soluciones que deben aplicarse son las siguientes:
1. Es necesario monitorear el trfico de correo electrnico y de Internet para impedir la transaccin de
datos confidenciales a travs de la red. El filtrado de contenidos de Internet ayuda a limitar el acceso a
los sitios Web, lo que puede poner en peligro la confidencialidad de la corporacin. El filtrado de correo
electrnico puede impedir la transmisin de informacin confidencial a travs del correo electrnico,
incluida la informacin de autentificacin o los datos protegidos.
2. El uso de soluciones antivirus completas, que incluyen la bsqueda de caballos de Troya, le ayudarn a
eliminar el espionaje corporativo (y los robos de datos resultantes) a travs de mtodos de puerta
trasera.
3. Los productos de software para deteccin de intrusos permitirn el acceso exclusivo de las personas
autorizadas a las reas restringidas de la red. El departamento de sistemas puede recibir alertas acerca
de los intentos de intrusin y puede actuar en consecuencia.
4. Las soluciones de evaluacin de vulnerabilidades contribuirn a que el departamento de sistemas
comprenda la arquitectura de seguridad y las vulnerabilidades de cada componente dentro de la
estructura. Ayudarn a los directores de sistemas a obtener auditoras de su red, as como a desarrollar
y mejorar las protecciones.
5. La implementacin de normas ayudar al departamento de sistemas a desarrollar un conjunto slido de
normas de configuracin de las redes. Estas normas pueden ayudarle tambin a establecer reglas de
acceso, para que Ud. pueda monitorear mejor la actividad y detectar posibles intrusiones. En cuanto a
los usuarios, las normas permitirn garantizar que comprenden cul es el uso adecuado de los recursos
de la red corporativa. Estas normas ayudan a establecer procedimientos de gestin de incidentes.
6. Certificaciones Digitales: Elevan el nivel de seguridad en un S.I., ya que el usuario sabe que opera en un
sistema seguro. Permite autenticar personas y equipos informticos. Permite adems activar la
encriptacin de la informacin que se transmite.
7. Encriptacin de las comunicaciones: La comunicacin que se transmite entre los S.I. Deben ser
encriptados con algoritmos fuertes cuando los datos viajen por redes pblicas no seguras. El protocolo
de encriptacin ms utilizado para el comercio electrnico es el SSL que es muy fuerte y se encuentra
presente en la mayora de los browsers.
8. Actualizaciones constantes como:
Actualizacin diaria o semanal en los S.I. con respecto a nuevas vulnerabilidades.
Capacitacin de los administradores de seguridad.
Entrenamiento sobre el manejo de intrusos corporativos y simulacin de ataques informticos.
Los S.I. requiere de una organizacin requiere de todo un conjunto de herramientas que
funcionen de forma sinrgica para as no ser vctima del espionaje corporativo.

22

NOTA: esta investigacin se ha basado en una empresa editorial de revistas, pero es aplicable a cualquier empresa.

Bibliografa
http://www.microsoft.com/business/es-es/Content/Paginas/article.aspx?cbcid=122
http://www.notariado.org/liferay/c/document_library/get_file?folderId=12092&name=DLFE-12710.pdf
http://www.onnet.es/estudio001.pdf
http://www.grupocorpodat.com/servicios_seg_informatica
http://technet.microsoft.com/es-es/library/cc700825.aspx
http://catarina.udlap.mx/u_dl_a/tales/documentos/lis/jerez_l_ca/capitulo1.pdf
http://www.elderecho.com/mercantil/Medios-combatir-competencia-desleal_11_455680001.html
http://www.monografias.com/trabajos13/artesp/artesp.shtml
www.spyzone.com
www.loyola-edu/dept/politics/ecintel.html
www.spysite.com
www.mai-assoc.com
www.cb-security.com
http://www.iec.csic.es/criptonomicon/articulos/expertos58.html

23

NOTA: esta investigacin se ha basado en una empresa editorial de revistas, pero es aplicable a cualquier empresa.