Parte 1: La necesidad de proteger
Existen muchos riesgos, algunos más graves que otros. Entre estos peligros se encuentran el ransomware y el malware que borran todo su sistema, un atacante que ingresa a su sistema y altera archivos, un atacante que usa su computadora para atacar a otros o un atacante que roba la información de su tarjeta de crédito y realiza compras no autorizadas.
No hay garantía de que, incluso con las mejores precauciones, algunas de estas cosas no le sucedan, pero hay medidas que puede tomar para minimizar las posibilidades.
Usted y su empresa son objetivos
• El 90% de las empresas han sufrido algún tipo de ataque.
• A menudo, las empresas ni siquiera saben cuándo ocurre un ataque.
• Las infracciones son eventos potencialmente comerciales
• Costo promedio de un incidente grave = $ 190,000
• Las infracciones pueden causar vergüenza, daños monetarios y pérdida de empleos.
Tipos de ataques.
• Phishing: correos electrónicos falsos que engañan a los usuarios para que infrinjan la seguridad
• Malware / Virus: software malicioso instalado para causar daño
• Dispositivos robados o secuestrados: las computadoras y los dispositivos quedan bajo el control de los piratas informáticos
• Robo de datos: se accede a datos confidenciales
• Ataques de denegación de servicio (DoS): la red o sitio web objetivo se inunda con más tráfico del que puede manejar
• Ataques basados en la web: se ataca el sitio web o la aplicación del usuario final.
Sé cauteloso y cauteloso
• Muchos ataques se basan en engañar al usuario y jugar con su falta de sospecha.
• Los ataques a menudo apuntan a la presa más fácil y los delincuentes se moverán a otro objetivo si encuentran defensas.
En caso de duda siempre pregúntele a su departamento de IT si no está seguro.
Parte 2: Contraseñas : la amenaza más común
• Las contraseñas son el mecanismo de seguridad más común utilizado en tecnología.
• También son el elemento más común atacado.
• Asegurarse de cumplir con las mejores prácticas de contraseña ayudará a protegerlo a usted y a su organización.
Complejidad de contraseña
Asegúrese de que su contraseña:
• Tiene al menos 10 caracteres
• Tiene una combinación entre mayúsculas y minúsculas, números y caracteres especiales como! # 8%
• No es una palabra del diccionario
• No es algo con significado personal, como el nombre de su mascota
• Se cambia cada 6 meses como mínimo Una forma útil de hacer esto es usar frases de paso. Son fáciles de recordar y extremadamente difíciles de descifrar. Por ejemplo: Mic0ntr4sen@!
Autenticación de múltiples factores / dos factores
Una opción común que se usa ahora es enviar un código por mensaje de texto a su teléfono celular (algo que tiene con ud) y solicitarlo además de su contraseña (algo que sabe solo ud)
Active la Autenticación de 2 factores para mayor seguridad, especialmente con cuentas de correo electrónico, cuentas bancarias y otras cuentas confidenciales.
Protección de contraseña
Proteja su cuenta de correo electrónico, desbloquea todo lo demás
• La cuenta más importante para proteger es su cuenta de correo electrónico.
• Si un atacante obtiene acceso a su cuenta de correo electrónico, puede restablecer el acceso a la mayoría de las otras cuentas (¡a menos que esté utilizando autenticación de dos factores, por supuesto!)
• Use una contraseña FUERTE y ÚNICA para su cuenta de correo electrónico
Cómo almacenar
No escriba su contraseña en una nota adhesiva adjunta a su pantalla
No mantenga sus contraseñas escritas en un archivo de texto en su computadora
¡No los escriba en texto plano en ninguna parte!
Use un programa de almacenamiento de contraseña cifrada, como KeePass o LastPass.
Reutilización de contraseña
Otro problema importante: las personas tienden a reutilizar las mismas contraseñas en numerosas cuentas.
• Si su contraseña se ve comprometida, los atacantes tienen acceso a todas estas otras cuentas que usaron la misma contraseña. Use contraseñas únicas para todas sus cuentas importantes
Parte 3: correo electrónico y comunicaciones seguras
¿Qué encontraría alguien?
La infraestructura tecnológica de su empresa contiene muchos datos privados, como:
• Números de Seguro Social (¡incluido el suyo!)
• Información de identificación personal del cliente
• Datos financieros
• Contraseñas
• Planes de negocios
• Información privada de la compañía.
Los datos en reposo
Las violaciones de seguridad generalmente empeoran mucho cuando los atacantes encuentran un montón de datos en los correos electrónicos y archivos almacenados de los usuarios, como:
Contraseñas enviadas / recibidas de otros
Datos confidenciales / informes / datos financieros enviados por correo electrónico
Archivos con contraseñas almacenadas sin cifrar
Consejos de seguridad
Que hacer?
Piensa antes de enviar información confidencial
Enviarlo encriptado
Envíelo a través de otro método (por ejemplo, llame a alguien y dígale su contraseña en lugar de enviarla por correo electrónico)
Darlo en persona
Hable con su departamento de IT si tiene dudas.
Borrando
• No seas un "acaparador digital"
• A menos que esté seguro de que necesitará esta información más adelante, BORRARLA.
• Vacíe su papelera, puede estar configurada para contener los correos electrónicos de forma indefinida.
• Los datos y mensajes que necesita pueden guardarse y almacenarse en otro lugar (como en un disco duro cifrado de backup, consulte a IT para esto).
Parte 4: Ingeniería Social
La ingeniería social es el arte de manipular a las personas para que realicen acciones o divulguen información. Se basa en nuestra inclinación natural a confiar y querer ayudar a las personas. Las entidades maliciosas utilizarán esta técnica para engañar a los usuarios y obtener acceso a información, instalaciones, recursos, etc. A menudo puede parecer inocuo y es posible que ni siquiera te des cuenta de que has sido atacado.
Cómo y quién
Fraude de transferencia bancaria
Una técnica muy popular es intentar ingeniero social al miembro del personal de finanzas para que transfiera dinero
• Un pedido urgente o transferencia de su CEO o CFO
• El correo electrónico contendrá toda la información legítima, pero es falsa o falsificada
• Se basa en la falta de políticas y procedimientos.
• El dinero se canaliza a través de cuentas en el extranjero y / o "mulas de dinero", y las víctimas a menudo no pueden recuperar los fondos.
Canales de ataque de ingeniería social
Por teléfono - 43%
En persona - 34%
Email: 16%
Por mensaje de texto: 3%
En un sitio de redes sociales: 2%
Desconocido -2%
Phishing y correos electrónicos
• El phishing es el acto de intentar adquirir información haciéndose pasar por una entidad confiable en un correo electrónico
• Los piratas informáticos pueden elaborar un correo electrónico de phishing para intentar que haga clic en un enlace o obtener información en un sitio web falso.
• Solo visitar uno de estos sitios puede comprometer su seguridad, incluso si no hace clic en ningún enlace o ingresa información en el sitio falso.
• Siempre revise cuidadosamente la dirección real del enlace pasando el mouse sobre el enlace, o no haga clic en el enlace y simplemente visite el sitio web manualmente.
• Los correos electrónicos de phishing están diseñados específicamente para usted o su organización y pueden ser muy difíciles de detectar como falsos. Pueden contener su nombre y otra información que lo lleve a creer que son genuinos.
• Las direcciones de correo electrónico pueden ser falsificadas y puede parecer que provienen de alguien que conoce o trabaja .
Señales de que estás siendo objetivo
• Estás siendo presionado.
• La persona está pidiendo ayuda.
• La persona afirma ser alguien de autoridad o tiene autorización de alguien de autoridad
• La persona es demasiado persistente.
• La persona alega que la situación es urgente y que se debe actuar de inmediato.
Reglas
• No entregue sus credenciales de acceso a nadie
• No permita que las personas ingresen a áreas seguras sin credenciales
• No haga clic en enlaces en correos electrónicos a menos que esté 100% seguro de que son legítimos
• Comprenda que tiene el control de las credenciales de acceso y la información que es valiosa para un atacante
• No tengas miedo de decir "Lo siento. No puedo ayudar" o "Lo siento. Necesito verificar esto con alguien primero"
• Si no está seguro, pregúntele a un supervisor, gerente o alguien del departamento de IT
• Siempre ten cuidado
Enlaces no legitimos
Los enlaces pueden ser difíciles de notar cuando no son legítimos:
www.paypal.com.ncq93.us
Mira de nuevo, eso no es paypal.com. Es un subdominio de ncq93.us
www.bankoffamerica.com
Parece que podría ser su sitio con un vistazo rápido, pero tiene un ligero error tipográfico y es falso
www.maxi-ms.co
Parece que su sitio, pero el .co al final está mal, su sitio es maxi-ms.com
Mini URL
Hay servicios legítimos, como Tiny URL. Bitly y acortador de URL de Google, que las personas usan para acortar enlaces largos y complicados para que sean más cortos para incrustar en correos electrónicos
Los piratas informáticos pueden usar estos servicios para que acceda a un enlace sin que usted sepa a dónde lo llevan. ¡Sé cauteloso!
Parte 5: Malware
El malware es un software malicioso que se utiliza para interrumpir, obtener información confidencial u obtener acceso a los sistemas informáticos. Incluye software como:
Virus informáticos
Troyanos
Rootkits
Registradores de teclas
Secuestro de datos
Spyware
Adware
Gusanos
Se puede difundir de muchas maneras:
Por correo electrónico y archivos adjuntos de correo electrónico.
A través de descargas de música, videos, software, etc.
Disfrazado como software legítimo
No todo el malware es notablemente perjudicial. Algunos se sientan en la máquina infectada silenciosamente robando información o usando los recursos de la máquina para otros fines maliciosos.
Tu máquina puede estar infectada y ni siquiera te das cuenta.
Cómo pueden infectarme?
El correo electrónico es una forma popular de propagar malware.
No abra ni haga clic en archivos adjuntos sospechosos, especialmente si son archivos .PDF .ZIP o .EXE
No haga clic en enlaces sospechosos como se mencionó, desplace el mouse sobre el enlace y observe de cerca la dirección real a la que desea enviarlo.
Secuestro de datos
El ransomware es un tipo de software malicioso, o malware, diseñado para negar el acceso a un sistema informático o datos hasta que se pague un rescate. El ransomware generalmente se propaga a través de correos electrónicos de phishing o visitando sin saberlo un sitio web infectado.
La recuperación puede ser un proceso difícil que puede requerir los servicios de un especialista de recuperación de datos acreditado, y algunas víctimas pagan para recuperar sus archivos. Sin embargo, no hay garantía de que las personas recuperen sus archivos si pagan el rescate.