Boletín de Seguridad Informática

Volumen nº 1
Dirección Nacional de Seguridad y Protección
D e p a r t a m e n t o d e S e g u r i d a d I n f o r m á ti c a M I N S A P
Enero/2015
Boletín de Seguridad Informática
Cómo actuar ante un incidente de Seguridad Informática
Todos los usuarios de las
tecnologías de información del Sistema Nacional
de Salud tienen que conocer cuando están frente a un incidente de seguridad como:
Dirección Nacional de Seguridad y
Protección
Teléfono: 839-63-51
Correo electrónico: [email protected]
Estamos en la Web!!!
http://instituciones.sld.cu/dnspminsap/
Contenido
Introduzca Contraseñas Seguras. Pág 2
Proxy Anónimo. Pág 3

Virus Informáticos

Suplantación de
Identidad

Software malignos

Ingeniería social

Correos contrarrevolucionario

Correos Spam
Una vez identificado que
ha sido testigo de un ataque de este tipo, se tiene
que reportar a los responsables de Seguridad
Informática de la institución a la que pertenecen.
Si los usuarios de la institución no informan los
incidentes de seguridad
viola los siguientes artículo de la Resolución
127/07 del Ministerio de
la Comunicaciones que
dicen:
ARTÍCULO 12: Los
usuarios de las tecnologías de información en
órganos, organismos y
entidades tienen las
siguientes obligaciones:
h) Informar al dirigente facultado de
cualquier anomalía
de seguridad detectada.
ARTÍCULO 24: Los
usuarios de las tecnologías de la información
están en la obligación
de informar de inmediato cualquier incidente de seguridad, debilidad o amenaza a sistemas o servicios y las
direcciones correspondientes exigirán su
cumplimiento.
ARTÍCULO 91: La dirección de cada entidad
garantizará que al pro-
ducirse un incidente o
violación de la seguridad informática la información sobre este
acontecimiento se reporte inmediatamente
a la Oficina de Seguridad para las Redes Informáticas y a la instancia superior de la entidad. Este reporte incluirá como mínimo:
a) En que consistió el
incidente o violación.
b) Fecha y hora de
comienzo del incidente y de su detección.
c) Implicaciones y daños para la entidad
y para terceros.
d) Acciones
tomadas.
iniciales
e) Evaluación preliminar.
Página 2
Boletín de Seguridad Informática
Volumen nº 1
Página 3
Introduzca Contraseñas Seguras
No se tiene remedio, esto es lo primero que viene a la cabeza en el
momento que se desea crear una
nueva contraseña. Conozcan las 25
contraseñas más populares del
2014, todas siguen incumpliendo las
reglas más elementales a tener en
cuenta para crear contraseñas seguras. Aquí se muestra el listado completo:
Una vez creada la contraseña de
manera que nadie pueda descifrarla, se tiene que cumplir con lo
estipulado en el artículo 47 de la
Resolución 127/07 del Ministerio
de la Informática y las Comunicaciones, que dice:
1.
123456
Para la utilización de contraseñas
2.
password
3.
12345
4.
12345678
5.
qwerty
6.
1234567890
7.
1234
8.
baseball
9.
dragon
10. football
11. 1234567
12. monkey
Esto permitirá tener una contraseña aún más segura.
14. trustno1
15. letmein
16. abc123
17. 111111
18. mustang
19. access
ños, el nombre de la mascota o
el número telefónico. Tampoco
21. master
6. Crear una frase con
primeras letras seguidas del
palabras complejas.
teclado del ordenador.
Intenta luego memo-
3. Utilizar programas para crear
22. michael
las contraseñas. Los mismos
23. superman
deben fijarse que sean confia-
24. 696969
bles.
25. 123123
13.batman
ña incluida en este listado. ¿Cómo
crear una contraseña segura?
escribirla
4. Crear una contraseña con dificultad pero que sea fácil de
frase favorita ya que nunca la
olvidarán y además casi nadie
en
ningún sitio.
7. Sustituir
recordar. Muchos usan una
De seguro se encontró su contrase-
rizarla para no tener
que
letras
y
números por nombres. De esta forma,
en vez de poner “2”
incluye
la
palabra
“dos”.
conoce. Otros optan por incluir
8. No incluir datos per-
1. Utilizar varias contraseñas. Lo
las letras iniciales de las pala-
sonales. El nombre,
recomendable es que se utilicen
bras que conforman dicha fra-
dirección o teléfono
distintas contraseñas ya que si
se.
no
un hacker accede a una de las
claves, inmediatamente intentará probarla en las otras cuentas.
2. No utilizar contraseñas obvias.
Evita usar la fecha del cumplea-
5. Utilizar números y letras. Para
que sea totalmente segura, la
contraseña debe tener números y letras y, de ser posible,
deberían
incluidos.
Los
estar
ha-
ckers llegarán muy
rápidamente a esos
datos.
Además,
9. Cambiar las claves
intercala mayúsculas y minús-
varias veces al año.
también
símbolos.
a. Serán privadas e intransferibles.
b. Su estructura, fortaleza y frecuencia de cambio estarán en
correspondencia con el riesgo
estimado para el acceso que protegen.
do evidente, con una longitud
mínima de 6 caracteres.
d. No pueden ser visualizadas en
pantalla mientras se teclean.
e. No pueden ser almacenadas en
texto claro (sin cifrar) en ningún
tipo de tecnologías de información.
c. Combinarán en todos los casos
letras y números sin un significa-
Proxy Anónimo
culas.
será bueno que se opte por las
20. shadow
como método de autenticación de
usuarios, se cumplirán los siguientes
requisitos:
En el Sistema Nacional
de Salud eventualmente
surgen algunos incidentes de seguridad informática que se denominan “Proxy Anónimo”.
Acción que le permite a
los infractores ocultar las
actividades de navegación
por Internet, con el fin de
burlar los filtros de seguridad web y acceder a sitios
no permitidos en el ordenador de trabajo. La utilización de proxy anónimo
viola los siguientes artículos
de la Resolución 127/07 del
Ministerio de las Comunicaciones que dicen:
ARTÍCULO 12: Los usuarios de las tecnologías de
información en órganos,
organismos y entidades
tienen las siguientes obligaciones:
a) Adquirir la preparación
necesaria y los conocimientos de Seguridad Informática imprescindibles para el
desempeño de su trabajo.
b) Contar con la autorización
expresa del jefe facultado,
para obtener acceso a cualquiera de los bienes informáticos.
c) Utilizar las tecnologías de
información solo en interés
de la entidad.
d) No transgredir ninguna de
las medidas de seguridad
establecidas.
e) Proteger las tecnologías o
la terminal de red que le ha
sido asignada y colaborar
en la protección de cualquier otra, para evitar que
sea robada o dañada, usada
la información que contiene
o utilizado de manera impropia el sistema al que
esté conectada.
f) No instalar ni utilizar en las
tecnologías equipamientos
o programas ni modificar la
configuración de las mismas, sin la correspondiente
autorización del jefe facultado.
g) Cumplir las reglas establecidas para el empleo de las
contraseñas.
h) Informar al dirigente facultado de cualquier anomalía
de seguridad detectada.
ARTÍCULO 65: Los usuarios que han
recibido la autorización para el empleo de los servicios que brindan las
redes son responsables por su propia conducta. Los usuarios deben
conocer las políticas de seguridad
para las computadoras y redes a
que ellos acceden y están en la obligación de cumplir estas políticas.