Volumen nº 1 Dirección Nacional de Seguridad y Protección D e p a r t a m e n t o d e S e g u r i d a d I n f o r m á ti c a M I N S A P Enero/2015 Boletín de Seguridad Informática Cómo actuar ante un incidente de Seguridad Informática Todos los usuarios de las tecnologías de información del Sistema Nacional de Salud tienen que conocer cuando están frente a un incidente de seguridad como: Dirección Nacional de Seguridad y Protección Teléfono: 839-63-51 Correo electrónico: [email protected] Estamos en la Web!!! http://instituciones.sld.cu/dnspminsap/ Contenido Introduzca Contraseñas Seguras. Pág 2 Proxy Anónimo. Pág 3 Virus Informáticos Suplantación de Identidad Software malignos Ingeniería social Correos contrarrevolucionario Correos Spam Una vez identificado que ha sido testigo de un ataque de este tipo, se tiene que reportar a los responsables de Seguridad Informática de la institución a la que pertenecen. Si los usuarios de la institución no informan los incidentes de seguridad viola los siguientes artículo de la Resolución 127/07 del Ministerio de la Comunicaciones que dicen: ARTÍCULO 12: Los usuarios de las tecnologías de información en órganos, organismos y entidades tienen las siguientes obligaciones: h) Informar al dirigente facultado de cualquier anomalía de seguridad detectada. ARTÍCULO 24: Los usuarios de las tecnologías de la información están en la obligación de informar de inmediato cualquier incidente de seguridad, debilidad o amenaza a sistemas o servicios y las direcciones correspondientes exigirán su cumplimiento. ARTÍCULO 91: La dirección de cada entidad garantizará que al pro- ducirse un incidente o violación de la seguridad informática la información sobre este acontecimiento se reporte inmediatamente a la Oficina de Seguridad para las Redes Informáticas y a la instancia superior de la entidad. Este reporte incluirá como mínimo: a) En que consistió el incidente o violación. b) Fecha y hora de comienzo del incidente y de su detección. c) Implicaciones y daños para la entidad y para terceros. d) Acciones tomadas. iniciales e) Evaluación preliminar. Página 2 Boletín de Seguridad Informática Volumen nº 1 Página 3 Introduzca Contraseñas Seguras No se tiene remedio, esto es lo primero que viene a la cabeza en el momento que se desea crear una nueva contraseña. Conozcan las 25 contraseñas más populares del 2014, todas siguen incumpliendo las reglas más elementales a tener en cuenta para crear contraseñas seguras. Aquí se muestra el listado completo: Una vez creada la contraseña de manera que nadie pueda descifrarla, se tiene que cumplir con lo estipulado en el artículo 47 de la Resolución 127/07 del Ministerio de la Informática y las Comunicaciones, que dice: 1. 123456 Para la utilización de contraseñas 2. password 3. 12345 4. 12345678 5. qwerty 6. 1234567890 7. 1234 8. baseball 9. dragon 10. football 11. 1234567 12. monkey Esto permitirá tener una contraseña aún más segura. 14. trustno1 15. letmein 16. abc123 17. 111111 18. mustang 19. access ños, el nombre de la mascota o el número telefónico. Tampoco 21. master 6. Crear una frase con primeras letras seguidas del palabras complejas. teclado del ordenador. Intenta luego memo- 3. Utilizar programas para crear 22. michael las contraseñas. Los mismos 23. superman deben fijarse que sean confia- 24. 696969 bles. 25. 123123 13.batman ña incluida en este listado. ¿Cómo crear una contraseña segura? escribirla 4. Crear una contraseña con dificultad pero que sea fácil de frase favorita ya que nunca la olvidarán y además casi nadie en ningún sitio. 7. Sustituir recordar. Muchos usan una De seguro se encontró su contrase- rizarla para no tener que letras y números por nombres. De esta forma, en vez de poner “2” incluye la palabra “dos”. conoce. Otros optan por incluir 8. No incluir datos per- 1. Utilizar varias contraseñas. Lo las letras iniciales de las pala- sonales. El nombre, recomendable es que se utilicen bras que conforman dicha fra- dirección o teléfono distintas contraseñas ya que si se. no un hacker accede a una de las claves, inmediatamente intentará probarla en las otras cuentas. 2. No utilizar contraseñas obvias. Evita usar la fecha del cumplea- 5. Utilizar números y letras. Para que sea totalmente segura, la contraseña debe tener números y letras y, de ser posible, deberían incluidos. Los estar ha- ckers llegarán muy rápidamente a esos datos. Además, 9. Cambiar las claves intercala mayúsculas y minús- varias veces al año. también símbolos. a. Serán privadas e intransferibles. b. Su estructura, fortaleza y frecuencia de cambio estarán en correspondencia con el riesgo estimado para el acceso que protegen. do evidente, con una longitud mínima de 6 caracteres. d. No pueden ser visualizadas en pantalla mientras se teclean. e. No pueden ser almacenadas en texto claro (sin cifrar) en ningún tipo de tecnologías de información. c. Combinarán en todos los casos letras y números sin un significa- Proxy Anónimo culas. será bueno que se opte por las 20. shadow como método de autenticación de usuarios, se cumplirán los siguientes requisitos: En el Sistema Nacional de Salud eventualmente surgen algunos incidentes de seguridad informática que se denominan “Proxy Anónimo”. Acción que le permite a los infractores ocultar las actividades de navegación por Internet, con el fin de burlar los filtros de seguridad web y acceder a sitios no permitidos en el ordenador de trabajo. La utilización de proxy anónimo viola los siguientes artículos de la Resolución 127/07 del Ministerio de las Comunicaciones que dicen: ARTÍCULO 12: Los usuarios de las tecnologías de información en órganos, organismos y entidades tienen las siguientes obligaciones: a) Adquirir la preparación necesaria y los conocimientos de Seguridad Informática imprescindibles para el desempeño de su trabajo. b) Contar con la autorización expresa del jefe facultado, para obtener acceso a cualquiera de los bienes informáticos. c) Utilizar las tecnologías de información solo en interés de la entidad. d) No transgredir ninguna de las medidas de seguridad establecidas. e) Proteger las tecnologías o la terminal de red que le ha sido asignada y colaborar en la protección de cualquier otra, para evitar que sea robada o dañada, usada la información que contiene o utilizado de manera impropia el sistema al que esté conectada. f) No instalar ni utilizar en las tecnologías equipamientos o programas ni modificar la configuración de las mismas, sin la correspondiente autorización del jefe facultado. g) Cumplir las reglas establecidas para el empleo de las contraseñas. h) Informar al dirigente facultado de cualquier anomalía de seguridad detectada. ARTÍCULO 65: Los usuarios que han recibido la autorización para el empleo de los servicios que brindan las redes son responsables por su propia conducta. Los usuarios deben conocer las políticas de seguridad para las computadoras y redes a que ellos acceden y están en la obligación de cumplir estas políticas.
© Copyright 2024