200 likes | 450 Views
SEGURIDAD INFORMÁTICA Capacitación Cajeros y Liquidadores 2012- (Oficina de Informática). AGENDA. Que es la Seguridad Informática. Ejes de la Seguridad Informática. Importancia de la Seguridad Informática. Controles para garantizar la Seguridad. Que información debe ser protegida.
E N D
SEGURIDAD INFORMÁTICACapacitación Cajeros y Liquidadores 2012- (Oficina de Informática)
AGENDA. • Que es la Seguridad Informática. • Ejes de la Seguridad Informática. • Importancia de la Seguridad Informática. • Controles para garantizar la Seguridad. • Que información debe ser protegida. • Amenazas asociadas al uso de la Información. • Datafonos
QUE ES LA SEGURIDAD INFORMÁTICA? • Es proteger la información y los sistemas de información del acceso, uso, interrupción o modificación no autorizado y de la destrucción de los datos.
EJES DE LA SEGURIDAD INFORMÁTICA. Son tres los ejes sobre los cuales se gira la seguridad informática: • CONFIDENCIALIDAD (Acceso no Autorizado) • INTEGRIDAD (No modificada ni por errores ni por terceros NA) • DISPONIBILIDAD (oportunidad)
IMPORTANCIA DE LA SEGURIDAD INFORMÁTICA. • Proteger la información relacionada con la organización, clientes y ciudadanos de accesos no autorizados. • Proteger a la organización de problemas legales a causa de la fuga de datos confidenciales • Proteger la información de la SNR es un requerimiento Ético (misional) y Legal.
CONTROLES PARA GARANTIZAR LA SEGURIDAD. • Asignación de responsabilidades de la Seguridad de la Información. • Concientización en la Seguridad Informática. • Reporte de incidentes que atenten contra la Seguridad Informática. • Procesos de planeación de Continuidad de Negocio. • Protección de la memoria histórica (Registros y Datos) de la Organización. • Gestión del Riesgo.
QUE INFORMACIÓN DEBE SER PROTEGIDA. • Información almacenada en los equipos. • Información en los Sistemas (SIR, FOLIO). • Oficios enviados por fax. • Oficios físicos. • Archivo digital en cintas o USB. • Diálogos - Conversaciones. • Datos en las Bases de datos.
AMENAZAS ASOCIADAS AL USO DE LA INFORMACIÓN. • Uso de las Contraseñas. • Correo Electrónico y Mensajería Instantánea. • Virus Informáticos y SPAM. • INTERNET. • Conexiones Publicas (cafes internet) y Spyware (SW espía). • Phishing(suplantacionident) • Hackers (Vulner-Acceso no Aut) • Piratería de Software. • Medios Magnéticos (Cintas) y Digitales (Pendrives). • Dispositivos Móviles.
USO DE LAS CONTRASEÑAS. • Mantener los Usuarios, Contraseñas y PIN confidenciales. • No usar contraseñas que pueden ser descifradas con facilidad. • Las contraseñas fuertes deberían se de por lo menos 7 caracteres alfanuméricos. • Las contraseñas deberían ser cambiadas con regularidad (por el usuario o a solicitud del usuario). • Las contraseñas no deberían ser compartidas, publicadas, anotadas o reutilizadas. • Las contraseñas deben ser únicas. • Todas las operaciones y transacciones son registradas con el usuario que la realizo, las cuales son de directa responsabilidad del funcionario al que se le asigno dicho usuario.
CORREO ELECTRÓNICOMENSAJERÍA INSTANTÁNEA • Los servicios de Correo y de mensajería instantánea no están libres de riesgos. • Tener precaución de lo que se envía (implicaciones legales). • Verificar la fuente de los mensajes. • Utilizar filtros antispam y de correo basura para disminuir el volumen de mensajes. • No abrir archivos adjuntos sospechosos o fuera de contexto. • Siempre verificar el destinatario de un mensaje antes de enviarlo y validar que sea el (los) correctos. • Los correos electrónicos son un documento de Legalidad Jurídica Evidencial. Esto obliga a todos los funcionarios a atender todos los requerimientos recibidos por este medio de igual forma como se atienden las solicitudes físicas. (Igual manejo de usuario y clave que los Sist. Inf)
VIRUS INFORMÁTICOS Y SPAM. • Los virus informáticos proliferan en redes inseguras (Cafes internet, Universidades, hogares). • Tener claro que se ha identificado el origen y propósito de todo correo antes de abrir un archivo adjunto. • Comprobar que el equipo tenga un antivirus instalado y este actualizado (Confirmar con mesa de ayuda). • Instalar las actualizaciones de sistema operativo cuando este se lo indique para mantener su equipo protegido de ataques informáticos. • Utilizar el correo de la SNR únicamente para asuntos de la organización, para asuntos personales utilizar una cuenta separada no vinculada con la SNR. • Nunca abrir hipervínculos de correos para evitar fraudes y suplantación.
INTERNET. • Estar atento a las advertencias de seguridad arrojadas por el navegador. • No asumir que la información que se encuentra en la WEB es correcta, exacta o actualizada • Verificar que cualquier material que se descarga de la WEB sea legal, no viola los derechos de autor no va en contra de las políticas de la SNR.
CONEXIONES PUBLICAS Y SPYWARE. • Tener precaución de acceder a los recursos confidenciales de la organización desde redes o computadores públicos (captura de credenciales por keyloggers). • Utilizar conexiones seguras al ingresar a los recursos de la SNR. • Utilizar Antispyware para protegerse de intrusiones en los equipos externos (casa). • Activar el Firewall personal del equipo para bloquear accesos no autorizados a los equipos externos.
PHISHING. • Estar atento de las paginas a las que se accede para evitar el hurto de identidad. • Una organización legitima NUNCA solicita información personal por correo electrónico, usar siempre los portales transaccionales. • Un correo de Phishing rara vez de dirige directamente al destinatario (Nombre y Apellido) y usualmente están escritos en tercera persona. • La raíz del Phishig es el hurto de identidad, lo que permite realizar transacciones (operaciones en sistemas de información) a nombre de otros habilitando el robo de recursos (dinero, información, predios, etc).
HACKERS. Los Hackers usualmente obtienen información confidencial contactándose con funcionarios que inadvertidamente responden (Ingeniería Social). • Verificar la identidad de las personas que solicitan información, en especial si es de tipo confidencial. • Direccionar todos los interrogantes a cerca de usted u otro funcionario al grupo de Talento Humano. • Nunca dar información ni discutir acerca del hardware o software de sus equipos de computo ni de los sistemas de la SNR. • Nunca dar información confidencial vía telefónica (Cuentas bancarias, tarjetas de crédito, información personal). • NUNCA DAR SUS USUARIOS Y CONTRASEÑAS A NADIE (NI A NINGÚN FUNCIONARIO) BAJO NINGUNA CIRCUNSTANCIA.
PIRATERÍA DE SOFTWARE. La SNR provee todas las herramientas de software que los funcionarios requieran en el desarrollo de sus actividades diarias. • No instalar ningún programa no autorizado en las estaciones de trabajo y equipos de la SNR. • Si se requiere de algún paquete de software especifico, realizar el requerimiento a la Oficina de Informática con su respectiva justificación y autorización del Gasto. • No realizar copias no autorizadas de los programas y software que se utilizar en la SNR.
MEDIOS MAGNÉTICOS Y DIGITALES. • Los medios de almacenamiento removibles como CDs, Memorias USB, Cintas Magnéticas (Data Cartridge) que se utilizan en el día a día suelen contener información importante y debería ser protegida. • Bloquear y proteger las unidades cuando no estén siendo utilizadas (guardar bajo llave). • No colocar medios removibles cerca de fuentes electromagnéticas (Imanes). • Marcar los medios indicando su contenido. • Destruir siempre los medios de almacenamiento removibles antes de der desechados. • Realizar inventario de los contenidos de los medios extraíbles con frecuencia, eliminando datos que no sean necesarios almacenar en estos. • El respaldo de la información contenida en medios extraíbles y en los equipos es responsabilidad de los usuarios.
DISPOSITIVOS MÓVILES. • Los dispositivos móviles como Portátiles, Tablets y/o Celulares con una forma conveniente de llevar información y bases de datos a todas partes, pero suelen ser objetivos de hurto. • Respaldar los datos contenidos en estos dispositivos con regularidad en una ubicación segura. • Mantener siempre protegidos y seguros sus dispositivos móviles. • Activar protección y encriptación de datos mediante el uso de contraseñas seguras o PIN de acceso. • Nunca almacene en ellos información sensible (Información bancaria, contraseñas, etc) sin utilizar algún tipo de encriptación de datos. • Nunca deje sus dispositivos móviles desatendidos.
CONVENIO DE BANCARIZACIÓN. • La SNR ha firmado convenios con Bancos para poder ofrecer en las ORIPS servicios de recaudo, acelerando los procesos registrales. • El uso que se de al datafono es de total responsabilidad del funcionario. • Verificar siempre la ranura de lectura del datafono antes de realizar una transacción en busca de objetos extraños (evitar clonación). • Ningún funcionario esta autorizado para acceder a los equipos en los cuales operan los funcionarios del banco. Las funciones de soporte de estas estaciones se canaliza a través de la mesa de ayuda. • Los funcionarios son los directamente responsables de todas las transacciones que se realicen con las credenciales (usuario, password y/o PIN) que se les entregue para acceso a los servicios bancarios, PROTÉJALOS.