Este módulo se centra en las directrices para el uso de

“comunicaciones electrónicas” y “recursos electrónicos”, como

sistemas de datos compartidos, navegación web, correo electrónico
y mensajería electrónica.

Este es el segundo módulo de un conjunto de dos partes sobre los

conceptos básicos de la seguridad de la información. Si aún no lo ha
hecho, revise Conceptos básicos de seguridad de la información,
parte 1 antes de completar este módulo. Ese módulo contiene
pautas para las comunicaciones que no sean por computadora y
también analiza las preocupaciones fundamentales de la seguridad
de la información.

Objetivos de aprendizaje

Al finalizar este módulo, usted debería poder:

● Describa los problemas de seguridad básicos con varios tipos

de información, uso de la información y “dispositivos” de
información.
● Implemente un conjunto de mejores prácticas para un uso
más seguro de la información en el trabajo y en su vida
personal.

Protección de sistemas electrónicos

Si bien los registros en papel siguen siendo ampliamente utilizados,
los recursos de información más importantes se encuentran ahora
casi siempre en sistemas informáticos. Los ordenadores ofrecen
gran comodidad y eficiencia, pero también entrañan grandes
riesgos.

Si los sistemas informáticos se ven comprometidos, las operaciones

de una organización pueden verse paralizadas. Como las
computadoras están conectadas en red, un único problema de
seguridad puede propagarse de forma amplia y rápida. Lo que se
hace (o no se hace) en un dispositivo informático o en un recurso
informático compartido puede afectar a muchas personas de una
organización.

Es importante recordar que los dispositivos que parecen

computadoras no son los únicos de los que la gente debe
preocuparse. Los dispositivos portátiles, como tabletas,
computadoras portátiles y teléfonos inteligentes, pueden tener
acceso a recursos de información que es fundamental proteger.

La mayoría de las organizaciones cuentan con recursos para ayudar

a que la informática sea más segura. Averigüe cuáles son y
utilícelos. En particular, es fundamental saber en qué lugar de la
 organización se deben informar los problemas de seguridad de la
información si ocurren.

Acceso y uso de la computadora

La mayoría de las personas necesitan tener acceso a una

computadora y a muchos sistemas “informáticos” compartidos para
realizar su trabajo. Para protegerse a sí mismo y a sus colegas (y a
la empresa) es necesario controlar el acceso a la computadora y
evitar el contenido malicioso. Como usuario, usted tiene un papel en
la seguridad de la información y en la protección de sus datos.
El uso correcto de estos métodos de autenticación es fundamental
para la seguridad de la información. Una vez que se está en la
computadora, también es necesario saber lo suficiente para hacer
las cosas de manera segura, ya sea acceder a las recopilaciones de
datos de la organización, enviar correos electrónicos o mensajes a
 otras personas, navegar por sitios web o cualquier otra cosa. Este
módulo cubre los conceptos básicos de cada una de esas
actividades.

Reglas para el acceso a la computadora

● En el caso de los sistemas que dependen del uso de

contraseñas, elija contraseñas adecuadas que tengan al
menos 14 caracteres, con caracteres especiales y letras
mayúsculas y minúsculas. Protéjalas adecuadamente. Si una
contraseña ha sido vulnerada, cámbiela inmediatamente e
informe del problema a las autoridades pertinentes de la
organización.
● En el caso de los sistemas que dependen de tokens de
acceso informático (como llaves USB o tarjetas), guarde estos
elementos en un lugar seguro o bajo llave. Al igual que con las
contraseñas, informe de inmediato sobre la pérdida o el robo
de tokens de acceso.
● Inicie sesión en los sistemas informáticos únicamente con su
propio nombre de usuario, contraseña o tokens.
“Compártalos” únicamente con funcionarios autorizados de la
empresa y cámbielos inmediatamente después.
● En el pasado, era habitual que más de una persona utilizara
cuentas compartidas de forma continua. En general, esto ya
no es aceptable. Consulta las políticas de la organización para
saber cuándo, si es que alguna vez, se permiten las cuentas
compartidas.
● Cierre la sesión o bloquee los sistemas informáticos cuando
abandone el área inmediata, aunque sea por un breve
período. No confíe en los tiempos de espera automáticos para
su protección.

Para obtener más información sobre las contraseñas, consulte el

módulo Selección y protección de contraseñas del Programa CITI.
Protección de los dispositivos
informáticos y de los datos a los que
acceden

El concepto de medidas físicas, técnicas y administrativas (PTA) se

introdujo en el módulo de la Parte 1. Las medidas técnicas (T)
(como las contraseñas) son fundamentales para controlar el acceso
a las computadoras. Sin embargo, al igual que con la información en
papel y los dispositivos que procesan papel, controlar el acceso
físico (P) a una computadora es la primera "línea de defensa".
Siempre que sea posible, los dispositivos informáticos deben
guardarse en lugares seguros y no públicos. Si es posible, debe
tener un candado para el escritorio para mayor seguridad. Si una
computadora debe estar en un área pública, debe ubicarse de
manera que esté protegida de las visitas y debe monitorearse
adecuadamente.

Es fundamental tener copias de seguridad de los datos informáticos.

Sin embargo, guarde también en lugares seguros los medios de
almacenamiento que utilice para realizar copias de seguridad (por
 ejemplo, CD/DVD, unidades flash y discos duros portátiles). La
seguridad también es esencial para los servicios de copia de
seguridad basados ​en la nube, que suelen depender del uso de
contraseñas para acceder a ellos.

Cuando ya no se necesiten, es fundamental garantizar la

eliminación o el borrado seguro de cualquier medio o servicio que
contenga datos confidenciales. Asegúrese de que la eliminación de
la copia de seguridad no entre en conflicto con ninguna política de
retención de datos.

Se deben implementar medidas de protección básicas en el equipo,

como software antivirus o antispyware. Además, todo el software del
sistema debe mantenerse actualizado.

Reglas para la protección de dispositivos

informáticos

● Un espacio físico seguro para computadoras, dispositivos

portátiles y cualquier medio de almacenamiento extraíble es la
primera línea de defensa.
● Se instalan los programas antivirus, antispyware y cortafuegos
correspondientes. Algunas redes ya cuentan con estas
protecciones, pero suele ser fundamental tenerlas instaladas
en el equipo, en particular el software antivirus. También es
fundamental configurarlas correctamente.
● El antivirus y otros programas se mantienen actualizados.
Esto incluye la actualización de los parches para el sistema
operativo y las actualizaciones del navegador y el software de
correo electrónico que utilice.
● Utilice contraseñas de inicio de sesión y protector de pantalla,
o mecanismos de token o biométricos, para proteger el
dispositivo cuando no esté supervisado.
 Esta lista es un mínimo indispensable. Para obtener más
sugerencias e instrucciones sobre cómo implementarlas, consulte el
módulo Cómo proteger su computadora del Programa CITI .

Dispositivos portátiles personales:

computadoras portátiles, tabletas,
teléfonos inteligentes

En el caso de los sistemas informáticos de gran tamaño y con

múltiples usuarios, suele haber un personal de soporte técnico
dedicado que se encarga de todas las medidas de seguridad
necesarias. En el caso de los dispositivos informáticos personales, a
veces las personas también pueden confiar en el soporte de otras
personas. Por eso, se insiste en que siempre se debe preguntar al
personal técnico de una organización qué se ha implementado y qué
deben hacer las personas por su cuenta.

Los ordenadores portátiles, las tabletas, los teléfonos inteligentes y

otros tipos de dispositivos portátiles permiten que la potencia
informática llegue a cualquier parte. La mayoría de estos
 dispositivos utilizan comunicaciones inalámbricas (Wi-Fi), por cable
(Ethernet) o por teléfono celular para permanecer conectados a
Internet y a recursos informáticos compartidos en todo momento.
Estos dispositivos son muy prácticos, pero también muy peligrosos
debido a la cantidad de datos que pueden quedar expuestos. Esto
también es cierto en el caso de los medios de almacenamiento de
alta capacidad, como las tarjetas de memoria flash y los discos
duros portátiles. Esto hace que la pérdida de un dispositivo portátil
sea un posible desastre de seguridad.

Los equipos portátiles requieren muchas de las mismas

protecciones que los equipos no portátiles, como mantener
actualizado el software. También tienen requisitos especiales que se
derivan de su portabilidad.

Normas para la protección de dispositivos portátiles

● Siempre que sea posible, mantenga los dispositivos portátiles

dentro de una oficina u otra instalación (donde suele haber
una mayor seguridad física). O, si se trata de un dispositivo
que siempre lleva consigo (como un teléfono inteligente),
manténgalo físicamente seguro.
● En la medida de lo posible, no almacene información
confidencial en dispositivos portátiles. En su lugar, utilice
enlaces de comunicación seguros (encriptados) para acceder
a los datos según sea necesario.
● Cuando no se puede evitar dicho almacenamiento, todos los
datos del dispositivo se cifran mediante métodos aprobados.
● Utilice funciones de seguridad (como una contraseña de
acceso o autenticación biométrica) tanto para el acceso como
como clave de descifrado.
● Instale capacidades de localización remota, apagado remoto y
borrado remoto y habilítelas cuando estén disponibles.
● Informe inmediatamente sobre la pérdida o el robo de un
dispositivo portátil que contenga datos confidenciales, incluso
si el dispositivo se devuelve intacto. Es posible que se haya
accedido a los datos mientras estaba "fuera".
 Para obtener más información, consulte el módulo Protección de sus
dispositivos portátiles del Programa CITI .

Comprobación de conocimientos

Comprobación de conocimientos

Cosas que se hacen en las

computadoras

El término técnico para las cosas que hacen cosas en una

computadora es “aplicaciones”. Ahora analizaremos las reglas para
ellas, pero solo las aplicaciones más comunes y las reglas más
citadas.
 Las personas tienen la obligación de aprender a realizar de forma
segura todo lo que hagan con los recursos informáticos de una
organización. Por lo general, esto requerirá una formación que vaya
más allá de este curso, en particular para el uso de cualquier
sistema de información compartido que emplee una organización y,
en particular, para el subconjunto de esos sistemas que acceden a
datos confidenciales. Los sistemas multiusuario suelen tener sus
propias formas exclusivas de presentar la información y utilizan
comandos únicos para manipularla, por lo que se necesita una
formación desarrollada específicamente para ellos.

Correo electrónico
 En las últimas décadas, el correo electrónico se ha convertido en un
medio omnipresente de comunicación entre oficinas y dentro de
ellas, y es un medio habitual de interacción con los clientes. La
comodidad del correo electrónico coincide con otra realidad: puede
ser un medio de comunicación muy peligroso, porque la gente no
suele tomarse el tiempo de utilizarlo de forma segura. No es un
medio muy seguro ni siquiera en las mejores circunstancias, a
menos que la organización cuente con un sistema de correo
electrónico seguro (encriptado). Es mejor pensar en él como una
postal electrónica.

Aunque informal y rápido, el correo electrónico en el lugar de trabajo

puede considerarse correspondencia legalmente vinculante. Está
sujeto a inspección por parte de muchas partes, incluido el
empleador. Una vez enviado, tiende a permanecer prácticamente
para siempre en copias de seguridad y en las bandejas de entrada
de todos los destinatarios del mensaje.

Normas para el correo electrónico

Puede ser útil seguir estas reglas al utilizar el correo electrónico:

● Tenga cuidado con todos los mensajes de correo electrónico

que reciba, especialmente los que contengan archivos
adjuntos que puedan estar infectados. El phishing, el spam,
las suplantaciones de identidad y los mensajes engañosos
deben eliminarse y no se debe responder a ellos.
● Confirme que cada archivo adjunto que llegue provenga de
una dirección de correo electrónico de una fuente confiable o
verifíquelo con un software antivirus antes de abrirlo.
● Acceda a los enlaces incluidos en los correos electrónicos
únicamente cuando se confirme que el mensaje proviene de
una fuente confiable. Los enlaces incluidos en los correos
electrónicos pueden ser tan peligrosos como los archivos
 adjuntos. De hecho, se estima que más del 80 por ciento de
las violaciones de seguridad se producen por hacer clic en
enlaces maliciosos (Fruhlinger 2020).
● No envíe información confidencial en mensajes de correo
electrónico ni en archivos adjuntos a dichos mensajes, a
menos que sea inevitable. No se puede dar por sentado que
el correo electrónico de la mayoría de las personas es seguro
o que se aplican medidas de seguridad adecuadas.
● Si no puede evitar transmitir información confidencial por
correo electrónico, asegúrese de incluir un aviso de
confidencialidad. Al igual que con los faxes, no está claro si
estos avisos tienen algún efecto legal, pero son una práctica
habitual. Mejor aún: utilice un sistema de correo electrónico
cifrado. Consulte con los recursos de seguridad de la
información de su empresa sobre las opciones de cifrado para
el correo electrónico.
● Vuelva a leer el contenido del correo electrónico antes de
enviarlo. Asegúrese de que el contenido sea apropiado para
todos los destinatarios y para cualquier persona que pueda
recibirlo de segunda mano.
● Confirme que los destinatarios del correo electrónico sean
correctos antes de enviarlo. Verifique que las direcciones
"PARA", "CC" y "CCO" sean correctas.

Para obtener más información, consulte los módulos Correo

electrónico y mensajería más seguros, parte 1 y Correo electrónico y
mensajería más seguros, parte 2 .

Mensajería instantánea y mensajería de texto

 La mensajería es todavía menos común que el correo electrónico en
el lugar de trabajo, pero su popularidad está creciendo. Las reglas
para la mensajería son básicamente las mismas que para el correo
electrónico: tenga cuidado con lo que se incluye en las
comunicaciones y con el lugar (a quién) en que se envían. Al igual
que el correo electrónico, la mensajería no es inherentemente
segura, a menos que se ofrezca a través de un sistema seguro. Por
eso, muchas organizaciones pueden restringir el uso de los servicios
de mensajería más populares o limitar la mensajería a sistemas
orientados a las empresas que incluyen funciones de seguridad.

La mensajería también tiene similitudes legales con el correo

electrónico: aunque se trata de un medio informal y rápido, su uso
en el lugar de trabajo puede considerarse una correspondencia
legalmente vinculante y estar sujeta a inspección por parte de
muchas partes. Además, los mensajes también pueden permanecer
para siempre en varias copias de seguridad.

Reglas para la mensajería

● Tenga cuidado con todos los mensajes que reciba, incluidos,

al igual que con el correo electrónico, los archivos adjuntos a
los mensajes y los enlaces incluidos en los mensajes.
 ● No envíe información confidencial a través de mensajes o en
archivos adjuntos a ellos, a menos que no pueda evitarse,
especialmente fuera de su empresa.
● Si tiene que enviar información confidencial por mensajería,
asegúrese de incluir un lenguaje de confidencialidad. Al igual
que con el correo electrónico, recuerde que dichas
notificaciones pueden no tener ningún efecto legal.
● Vuelva a leer el contenido del mensaje antes de enviarlo,
especialmente si se envía fuera de una organización. Incluso
con este modo de comunicación tan informal, vale la pena
asegurarse de que el contenido sea apropiado para el público.
● Haga los esfuerzos necesarios para asegurarse de la fuente o
el destino de los mensajes. Intente siempre verificar que las
comunicaciones se dirigen a la persona a la que van dirigidas.
Esta es una buena regla para cualquier medio de
comunicación.

Para obtener más información, consulte los módulos Correo

electrónico y mensajería más seguros: Parte 1 y Correo electrónico
y mensajería más seguros: Parte 2 .

Navegación web

En el trabajo, es probable que las personas estén limitadas, al

menos oficialmente, a la navegación web relacionada con el trabajo.
De hecho, las prácticas de navegación pueden estar limitadas por
software de seguridad que restringe a las personas a las páginas
web propias de su organización y a sitios externos "seguros" que
contienen información considerada necesaria para las tareas
laborales. De todos modos, las personas deben asumir que su
navegación web, como toda la actividad informática en el trabajo,
está monitoreada.
 Navegar por Internet suele ser una actividad segura si el software
del navegador tiene la configuración de seguridad adecuada, pero
no siempre puede proteger a los usuarios si se adentran en sitios
relativamente inseguros. Es posible que un sitio web malicioso
extraiga información confidencial de un equipo o incluso dañe el
funcionamiento del mismo con solo hacer clic en el enlace
incorrecto. Descargar archivos de cualquier tipo es inherentemente
muy riesgoso, independientemente del software de protección que
se haya instalado.

Reglas para navegar en la web

Es importante tener en cuenta los siguientes puntos al navegar por

la web.

● Mantenga sus navegadores web actualizados y configurados

con los parámetros de seguridad adecuados. Si necesita
ayuda, consulte con alguien que sepa cómo hacerlo.
● Limite la navegación a sitios seguros.
● Siempre tenga cuidado antes de descargar archivos o hacer
clic en cualquier otra actividad. No inicie una descarga ni
ninguna otra actividad en un sitio sin tener plena confianza en
su contenido.

Para obtener más información, consulte el módulo Navegación Web

Más Segura del Programa CITI .

Intercambio de archivos entre pares

Debido a los riesgos de seguridad, la mayoría de las organizaciones

simplemente prohíben el uso de las computadoras del lugar de
 trabajo para compartir archivos a través de redes peer-to-peer (P2P)
o similares. Los archivos compartidos suelen estar infectados con
software malicioso. El software para compartir archivos puede
exponer archivos en una computadora que no sean los que su
propietario planeaba compartir y hacer que el sistema sea inestable
o peor. Las personas pueden infectar sus computadoras y
convertirlas en un vector para la infección de otras computadoras.

Los intercambios de archivos pueden consumir importantes recursos

informáticos y de comunicación, incluso si lo que se descarga es
"seguro" frente a infecciones. Por último, pero no por ello menos
importante, el intercambio de archivos también es legalmente
riesgoso. Muchos intercambios de archivos violan las leyes de
derechos de autor. Por todas estas razones, en realidad solo hay
una regla para el intercambio de archivos en el trabajo: no hacerlo.
Si se hace en casa, en un dispositivo informático personal, hay que
tener en cuenta los riesgos legales y de seguridad.

Juego de juego

La mayoría de las organizaciones también prohíben el uso de las

computadoras del lugar de trabajo para juegos, por razones
similares a las limitaciones al intercambio de archivos. Cualquier
software instalado podría estar infectado y, por lo tanto, presentar un
riesgo de seguridad. Incluso el software no infectado puede
consumir importantes recursos informáticos y de comunicación, por
no mencionar el costo del tiempo humano. Por último, la instalación
de software de juegos en una máquina del lugar de trabajo puede
violar las leyes de derechos de autor, al igual que potencialmente lo
hace el intercambio de archivos.

Redes sociales y medios de comunicación

Las redes sociales se han convertido en una de las actividades más

comunes en Internet en todo el mundo, algo sin lo que muchas
 personas ya no pueden imaginarse vivir. Ya sea Facebook, Twitter,
LinkedIn, Pinterest, Instagram, WeChat o cualquiera de los cientos
(si no miles) de otros sitios de redes sociales, las personas deben
conocer los procedimientos estándar para un uso más seguro de
estos recursos.

La falta de seguridad puede poner en riesgo las relaciones

personales, la seguridad personal, la reputación profesional y los
datos y la reputación de cualquier organización. Muchas
organizaciones ahora utilizan las redes sociales y los medios de
comunicación para las comunicaciones corporativas, pero esto no
debe confundirse con una aprobación del uso personal en el trabajo.

Para obtener más información sobre cómo utilizar estos recursos de

forma segura y adecuada, consulte el módulo Redes sociales más
seguras del Programa CITI.

Entendiendo los riesgos actuales

Las vulnerabilidades técnicas son una fuente de problemas de

seguridad, como cuando los piratas informáticos pueden explotar
 defectos en el software. Sin embargo, las "vulnerabilidades
humanas" (una forma educada de decir cuando los humanos se ven
inducidos a hacer algo arriesgado) son igualmente importantes. Hay
un verdadero ejército de personas que se dedican a poner en
peligro la seguridad de la información y gran parte de su éxito
depende de errores humanos.

Pueden ocurrir cosas malas como consecuencia de la ignorancia o

la falta de atención a las reglas básicas de seguridad de la
información que se han analizado hasta ahora. También se puede
“engañar” deliberadamente a los seres humanos para que hagan
cosas que provoquen problemas de seguridad, como hacer clic en
un enlace de un correo electrónico o de un sitio web. Esto se
denomina “ingeniería social”. Un nombre menos educado para los
ingenieros sociales es “estafadores” y, por desgracia, son tan
comunes en el mundo virtual como lo han sido durante mucho
tiempo en el mundo físico.

En definitiva, las personas deben asegurarse de que realmente se

están comunicando con la persona u organización que creen ser y
no con un impostor. Si no está seguro de la idoneidad de una
comunicación, simplemente diga que no. Recuerde que las
organizaciones de buena reputación nunca solicitan información
personal u organizacional confidencial por correo electrónico o
consultas no solicitadas en un sitio web. Siempre que esto suceda,
deben levantarse sospechas.

Reglas para evitar “la estafa”

Para evitar “la estafa” intente seguir estas reglas.

● Tome las medidas adecuadas para confirmar la identidad de

una persona (o sitio) para cualquier transacción que involucre
datos confidenciales.
 ● Utilice procedimientos especialmente estrictos cuando sea
necesario intercambiar una credencial de autenticación, como
una contraseña, un PIN, un número de cuenta u otros datos
personales que sean críticos para establecer la identidad
personal.
● Tenga cuidado cada vez que alguien le pida información
confidencial, ya sea por teléfono, fax, correo electrónico o
incluso en persona. Podría tratarse de una estafa de phishing
(que se basa en lo digital) o de "ingeniería social" (que se
basa en lo humano).
● No abra archivos adjuntos ni haga clic en enlaces incluidos en
mensajes, correos electrónicos o sitios web a menos que esté
absolutamente seguro de la autenticidad de la fuente.

Para obtener más información sobre la ingeniería social y las

defensas contra ella, consulte el módulo Protección de su identidad
del Programa CITI .

Una regla esencial para todos

Más allá de todas estas reglas detalladas, hay una regla (aunque no
es una regla técnica) que siempre vale la pena recordar: la Regla de
Oro.
 Si tiene suerte, quienquiera que esté manejando información sobre
usted hará lo mismo. Una gran parte de "hacer lo correcto" por los
demás es recibir suficiente capacitación para tomar buenas
decisiones en el día a día. También es importante reconocer cuándo
pedir ayuda. Hay un dicho que dice que un sistema de seguridad es
tan fuerte como su eslabón más débil. No permita que ese sea su
caso.

Qué hacer después de descubrir un

problema con otras personas

Con el tiempo, la mayoría de las personas se topan con alguien que

no sigue estas reglas básicas de seguridad de la información. Al
igual que sucede con las violaciones de las normas de privacidad,
normalmente no es intencional. Por lo tanto, un recordatorio amable
suele corregir la situación.

Si un recordatorio amable no funciona, deben comunicar el asunto a

un supervisor o al responsable de seguridad de la información de la
organización. Al igual que con los problemas de privacidad, las
personas tienen la obligación de informar los problemas de
seguridad de la información que no puedan solucionar por sí
mismas.

Al igual que con las cuestiones de privacidad, las normas federales

generalmente prohíben la intimidación o las represalias por informar
un problema de seguridad o presentar una queja. Sin embargo, si
una persona duda de la capacidad o la disposición de la
organización para prevenir daños, debe comunicar sus inquietudes
de forma anónima, ya sea a los funcionarios de la organización o a
una agencia gubernamental estatal o federal correspondiente.