40 / 106
40
Segundo cuatrimestre 2017
artículo técnico
Ciberseguridad
tos y contenidos y las personas que
administran la web.
A continuación, algunas medidas o
controles que aumentan el nivel de pro-
tección de los activos de información
para contener los daños y minimizar los
impactos en caso de incidente:
Usar un antivirus:
para ordenadores y
teléfonos móviles.
Actualizar:
sistemas operativos y apli-
caciones de Internet.
Formar a los empleados:
aumentar el
nivel de conciencia de seguridad en-
tre los miembros de la organización.
No abrir
spam
:
desechar de inme-
diato el correo basura.
Usar contraseñas seguras:
con ma-
yúsculas, números y caracteres com-
binados.
Copia de seguridad:
de los archivos
que no se quieran perder.
Descargar aplicaciones de con-
fianza:
solamente de mercados oficia-
les y con el consentimiento de la em-
presa.
Conexiones sólo en caso necesario:
Bluetooth, wifi y funciones GPS.
Redes sociales:
evitar contactos de
origen dudoso.
Información personal:
velar por el
buen uso de la información sensible y
personal de la organización y sus em-
pleados.
Y por último, algunas medidas para
evitar ataques dentro de la organiza-
ción:
Establecer contraseñas en los equipos.
Controlar los accesos a la información
sensible.
Cifrar la información, haciéndola ilegi-
ble para todo aquel que no tenga las
claves y esté ilegitimado para desci-
frarla.
Implementar
firewalls
o cortafuegos
que controlen el tráfico no deseado
de Internet.
Instalar antivirus en los distintos equi-
pos utilizados para el desarrollo del
negocio.
Filtrar el correo electrónico para evitar
emails
no deseados o de procedencia
sospechosa.
Salto de directorio:
fallo en la depura-
ción de un programa, en la validación
de caracteres especiales, que permite
el acceso a directorios o subdirecto-
rios no deseados.
Permisos, privilegios y/o control de
acceso:
fallos en la protección y ges-
tión de permisos que permiten el con-
trol de acceso.
Una amenaza es todo elemento que
aprovecha una vulnerabilidad para
atentar contra la seguridad de un ac-
tivo de información. Y un incidente es
cuando una amenaza ha conseguido su
objetivo, comprometiendo la seguridad
de la información. En el esquema supe-
rior podremos ver una relación entre los
diferentes conceptos.
A tenor del mismo, podemos con-
cluir que:
Ciberseguridad:
es la protección de
los activos frente a las amenazas y vul-
nerabilidades
.
Activos:
son los sistemas, equipos,
personas, etc., relacionados con la in-
formación. Por ejemplo, en una web
los activos serán el servidor, el propio
software
de la página, sus bases de da-
Vulnerabilidades
En general, es posible definir una vul-
nerabilidad como una debilidad que
puede poner en peligro la información
y comprometer el buen desarrollo de
nuestra actividad profesional. Pueden
definirse como debilidades que presen-
tan los activos de información por la au-
sencia o ineficacia de controles o medi-
das que los protejan. Por su origen, al-
gunas de las vulnerabilidades son:
Error en la gestión de recursos:
una
aplicación permite que se consuma
un exceso de recursos, afectando a la
disponibilidad de los mismos.
Error de configuración:
problema de
configuración de
software
o de los ser-
vidores web. Este error puede provo-
car la inutilización de páginas web a
través de ataques de denegación de
servicio (DoS, por sus siglas en inglés).
Factor humano:
negligencias causa-
das generalmente por la falta de for-
mación y concienciación. Un ejemplo:
apuntar las contraseñas en
post-its
.
Validación de entrada:
fallo en la vali-
dación de datos introducidos en apli-
caciones que puede ser una vía de ac-
ceso de un ataque.
Para los ciberdelincuentes, las pequeñas empresas
son objetivos fáciles, ya que carecen de medidas
de protección y están más despreocupadas en lo
que a ciberseguridad se refiere