Computing">
Módulo 3 Sistema de Gestión de Seguridad de La Información 27 Jun
Módulo 3 Sistema de Gestión de Seguridad de La Información 27 Jun
Módulo 3 Sistema de Gestión de Seguridad de La Información 27 Jun
ATENTO
Temas
3. Uso de los activos de la información
4. Políticas Y Procedimientos
5. Ingeniería Social
6. Guía Tratamiento Base de Datos
7. Identificación y Reporte de Incidentes de
Seguridad
Seguridad de la información y prevención de fraudes
¿Qué es la información?
• Preservar la confidencialidad,
integridad y disponibilidad de la
información en la organización.
Información considerada de alta sensibilidad que debe ser protegida aún dentro
Reservada de Atento. Ejemplo (listados de clientes, bases de datos de clientes, etc)
Control de
• Cambiar periódicamente su clave
• No debe prestar la huella para el
ingreso de otra persona a las
acceso instalaciones
Uso correcto de
contraseñas
• No la preste
• Apréndasela de memoria
• Cámbiela con frecuencia
• No use datos relacionados
con su vida personal
• Combine letras y números
• Use al menos ocho
caracteres
Previene el acceso físico al personal no autorizado,
además de evitar daños o robo a los activos de la
organización.
Física
• Bloqueé la sesión de su computador cada vez que
se retire o salga de su puesto de trabajo (pulsar la
tecla de Windows + L)No deje información sensitiva
escrita en papeles
• No ingresar al Call center dispositivos de
almacenamiento (cámaras, usb, celulares, etc)
• No fumar ni consumir bebidas en el sitio de trabajo
• Asegure computadores portátiles que tengan
autorizado el ingreso a las instalaciones
• Archive los documentos cuando termine de usarlos
• No bote a la basura documentos con información
confidencial
• Los usuarios son responsables de sus cuentas de
correo
• No se debe enviar información restringida por
correo
Reglas básicas • No enviar mensajes de cadena (SPAM)
• No use el correo electrónico con fines personales.
El objetivo es fijar las reglas sobre el buen uso de los activos de
información y de los servicios de red internos y externos.
Equipos de escritorio PC
Políticas y
confidencial.
• Solo usted tiene acceso a su bandeja de entrada.
• Los mensajes de correo están libres de virus o malware.
Procedimientos • Los mensajes de correo electrónico y sus archivos anexos no
cargan la red.
Tips de protección
• Nunca revele información personal sensible a
desconocidos.
• Verifique la identidad de quien llama por teléfono.
• Correos de fuentes extrañas no los abra.
• Links dirigidos a sitios de internet sospechosos no los
consulte.
Instalación de software
El uso de programas o de copias no autorizadas puede
ocasionar:
• Virus o Malware
• Violación de derechos de autor
• Abrir huecos de seguridad en su equipo y en la red de
Atento
Cumplimiento
• Ley de delitos informáticos
• Política de seguridad de Atento (publicada en la Intranet)
• Código penal de Colombia
• Circular Externa 042 de la SIFC (Año 2012)
• Circular Externa 007 de la SIFC (Año 2018)Ley habeas data en
Colombia
• PCI DSS Pagos con tarjetas
Ley 1273 de 2009 - delitos informáticos
Violaciones
• Acceso abusivo a un sistema informático
• Violación de datos personales
• Hurtos por medios informáticos
• Transferencia no consentida de activos
Consecuencias
• Multas hasta de 1500 (SMMLV)
• Prisión hasta de 120 meses
Ingeniería social es la práctica de obtener información
confidencial a través de la manipulación de usuarios legítimos
basado en técnicas psicológicas y habilidades sociales
utilizadas de forma consciente y muchas veces premeditada
para la obtención de información de terceros y la realización
de actos que normalmente no harían, buscando:
• Cometer Fraude
• Entrometerse en las Redes
Ingeniería •
•
Espionaje Industrial
Robo de Identidad
Técnicas Técnicas
presenciales presenciales
no agresivas agresivas
Técnicas Pasivas:
Basadas en la observación
y análisis del
comportamiento de la
víctima, con el fin de
reconstruir su rutina diaria,
de crear un perfil
psicológico aproximado,
etc.
Técnicas No Presenciales
• Recuperar la contraseña
• Correo
• Chats
• Teléfono
• Carta y fax
• Internet
Técnicas Presenciales No
Agresivas
• Buscando en La basura
• Mirando por encima del
hombro
• Seguimiento de personas y
vehículos
• Vigilancia de Edificios
• Inducción
• Acreditaciones
• Agendas y teléfonos móviles
• Desinformación
• Listados Telefónicos.
¿Qué hay en nuestra • Organigramas.
• Memorandos Internos.
basura? • Manuales de Políticas de la Compañía.
• Agendas en Papel de Ejecutivos con Eventos y
Vacaciones.
• Manuales de Sistemas.
• Impresiones de Datos Sensibles y Confidenciales.
• “Logins”, “Logons” y a veces... contraseñas.
• Listados de Programas (código fuente).
• DVD’s, CD’s, Cintas o Disquettes.
• Papel Membretado y Formatos Varios.
• Hardware Obsoleto.
• Fotocopias de cedulas o documentos con datos
personales
Técnicas Agresivas
• Suplantación de personalidad
• Chantaje o extorsión
• Despersonalización
• Presión psicológica
• Mantenga una actitud cautelosa y revise constantemente
sus tendencias de ayudar a personas que no conoce.
• Verifique con quien habla, especialmente si le están
preguntando por contraseñas, datos de empleado u otra
información sensitiva.
• Al teléfono, obtenga nombres e identidades (Nro. De
Empleado, por ejemplo). Corrobórelos y llámelos a su
pretendida extensión.
• No se deje intimidar o adular para terminar ofreciendo
información.
• No le permita a una persona desconocida “descrestarlo”
con su aparente conocimiento.
• Muchos pueden sonar como parte de “la-cosa-real”, pero
¿Cómo nos pueden ser parte de la conspiración.
• Sea cauteloso (de nuevo, no paranoico) en las encuestas,
defendemos? concursos y ofertas
• especiales vía internet, teléfono y correo electrónico y
convencional. De eso tan bueno no dan tanto
• Estas son formas comunes de cosechar direcciones de
correo electrónico,
• contraseñas y otros datos personales.
• No responda un mensaje de una cadena
En Atento Colombia promovemos el derecho constitucional
de toda persona a conocer, actualizar y rectificar las
informaciones que se hayan recogido sobre ellas en bases
de datos o archivos.
Guía Tratamiento
Base de Datos
Protección de datos personales
La ley 1581 de 2012 inicia un régimen de protección La obligación de Protección de los Datos Personales
de la información personal de las personas naturales. ha sido desarrollada en diferentes decretos y leyes.
Mediante esta ley se busca proteger los derechos de Inicialmente ha sido establecida en la ley 1581 del
las personas naturales sobre la divulgación y buen 2012 en la que se ordeno su reglamentación por parte
manejo de sus datos personales, creando un del gobierno en los años siguientes. En el decreto 886
desarrollo constitucional alrededor del Derecho de de 2014, se estipula la información, estipulaciones y
Habeas Data de las personas naturales. condiciones iniciales del Registro Nacional de Base de
Datos. En la circular 002 de 2015 se establece la
información adicional a registrarse y el tiempo en el
que deberá realizarse la inscripción.
El objetivo general es lograr la inscripción de las bases de datos, dentro del termino dado por la
Superintendencia de Industria y Comercio.
• Levantamiento de las bases de datos de personas naturales de las cuales Atento es responsable.
• Cumplimiento de las medidas de seguridad de la información.
• Construcción de la Política de Tratamiento de Bases de Datos y Política de Protección de Datos
Personales.
• Validación y actualización de los sistemas de recolección y actualización de las autorizaciones de Datos
Personales en Atento.
• Auditorias de control por parte de la SIC.
• Sanciones establecidas por parte de la SIC.
• Falta de control de la información.
• Desconocimiento de la información manejada.
Encargado Responsable
Identificación y
Reporte de Incidentes
de Seguridad
DEFINICIONES Clave
Evento de seguridad de la información: Presencia identificada de
una condición de un sistema, servicio o red, que indica una posible violación de
la política de seguridad de la información o la falla de las salvaguardas, o una
situación desconocida previamente que puede ser pertinente a la seguridad.
• Todo lo descrito en la Política de seguridad física y del entorno POL TEC SEG
008
DEFINICIONES Clave
Incidentes de Seguridad lógica:
• Involucra todas aquellas medidas establecidas por la administración -usuarios
y administradores de recursos de tecnología de información- para minimizar
los riesgos de seguridad, asociados con sus operaciones cotidianas llevadas a
cabo utilizando la tecnología de información.
• Las imágenes utilizadas en esta presentación son de uso libre y fueron descargadas de Freepik.es