Manual Básico de Ciberseguridad MIPYME
Manual Básico de Ciberseguridad MIPYME
Manual Básico de Ciberseguridad MIPYME
1. Prólogo ……………...…………………………………………………………………………………………………….. 03
2. Introducción ……………..…………………………………………………………………………………………... 05
4. Glosario ………………………………………………………………..…...……………………………………….….... . 48
2
MANUAL BÁSICO DE CIBERSEGURIDAD
PARA LA MICRO, PEQUEÑA Y MEDIANA EMPRESA.
1. Prólogo
33
A fin de proveer una herramienta práctica que permita incrementar la resiliencia
cibernética de las MiPyMEs, la Guardia Nacional elaboró el presente “Manual Básico de
Ciberseguridad para la Micro, Pequeña y Mediana Empresa (MiPyME)” con la finalidad de
orientar a emprendedores (as) y empresarios (as) sobre buenas prácticas en la materia, que
incluye además, recomendaciones para el debido cumplimiento de obligaciones respecto
al manejo de información privada de acuerdo a las disposiciones aplicables.
+ 250 Mil
Incidentes de
Ciberseguridad
El vector de ataque
más utilizado es el
El eslabón mas débil Phishing
sigue siendo el
Recurso Humano
Fuente: CERT-MX
4
MANUAL BÁSICO DE CIBERSEGURIDAD
PARA LA MICRO, PEQUEÑA Y MEDIANA EMPRESA.
2. Introducción
55
Entre las principales amenazas cibernéticas que podrían afectar a las MiPyMEs se
encuentran el Phishing, la revelación de secretos comerciales, la venta fraudulenta de
artículos o servicios y el mal uso y/o robo de información de datos personales, entre otras.
6
MANUAL BÁSICO DE CIBERSEGURIDAD
PARA LA MICRO, PEQUEÑA Y MEDIANA EMPRESA.
3.1. Empleados
77
Plan de acción de ciberseguridad
Empleados
Tanto los datos del cliente como los datos internos de la empresa se
consideran confidenciales y requieren un especial cuidado cuando se
Establecer visualizan, almacenan, utilizan, transmiten o eliminan. Es importante
controles de definir el rol de cada empleado y establecer un control de acceso a los
acceso apropiados. datos en función de su rol basado en la mejor práctica de ”menor
privilegio", que permiten al empleado acceder sólo a los datos que son
necesarios para realizar su trabajo.
Proporcionar
Los usuarios directos e indirectos del uso de la tecnología en una
capacitación de
empresa son el grupo mas importante de personas que pueden ayudar
seguridad
a reducir los errores involuntarios y las vulnerabilidades de las
informática los
Tecnologías de la Información.
empleados.
8
MANUAL BÁSICO DE CIBERSEGURIDAD
PARA LA MICRO, PEQUEÑA Y MEDIANA EMPRESA.
Enlaces de ayuda
• "Curso de Certificación de Contratación Segura en línea" puede ayudar a sentar las bases
para un proceso de reclutamiento seguro.
http://www.esrcheck.com/ESRonlineSafeHiringCourse.php
• Para obtener más información sobre las obligaciones del empleador según la FCRA, visite
https://mundopymes.org/recursos-humanos/seleccion-de-personal/por-que-verificar-los-
antecedentes-generales-de-un-empleado.html
• “Kit de concientización " puede ayudar a sentar las bases para un proceso de
concientización
https://www.incibe.es/protege-tu-empresa/kit-concienciacion
99
10
MANUAL BÁSICO DE CIBERSEGURIDAD
PARA LA MICRO, PEQUEÑA Y MEDIANA EMPRESA.
3.2. Seguridad en
dispositivos móviles
Muchas empresas están descubriendo que sus integrantes son más productivos
cuando usan dispositivos móviles, y los beneficios son demasiado grandes para
ignorarlos. Pero si bien esta tecnología puede aumentar la productividad en el lugar
de trabajo, permitir que los empleados traigan sus propios dispositivos moviles a la
empresa puede generar importantes desafíos de seguridad y gestión.
1111
Como la pérdida de datos y su impacto a causa del extravío o el robo de dispositivos electrónicos
crean grandes desafíos, ya que éstos se utilizan ahora para almacenar información comercial
confidencial y acceder a la red corporativa. Según una encuesta de seguridad móvil de Symantec
de diciembre de 2010, el 68 % de los encuestados calificaron la pérdida o el robo como su principal
preocupación de seguridad de dispositivos móviles, mientras que el 56 % dijo que los códigos
maliciosos para teléfonos móviles es su principal preocupación. Es importante recordar que si bien
el empleado puede ser responsable de un dispositivo, la empresa sigue siendo responsable de los
datos.
12
MANUAL BÁSICO DE CIBERSEGURIDAD
PARA LA MICRO, PEQUEÑA Y MEDIANA EMPRESA.
Establecer un
En el caso de una pérdida o robo, los empleados y la gerencia
procedimiento de
deberían saber qué protocolo aplicar. Deben existir procesos
denuncia para equipos y
para desactivar el dispositivo y proteger su información de la
datos perdidos o
intrusión.
robados.
Enlaces de ayuda
• "Guía para el Borrado Seguro de Datos Personales" puede ayudar a sentar las bases para el
desarrollo de un guía:
http://inicio.ifai.org.mx/DocumentosdeInteres/Guia_Borrado_Seguro_DP.pdf
1313
14
MANUAL BÁSICO DE CIBERSEGURIDAD
PARA LA MICRO, PEQUEÑA Y MEDIANA EMPRESA.
1515
Plan de acción de ciberseguridad
Seguridad en la Red
16
MANUAL BÁSICO DE CIBERSEGURIDAD
PARA LA MICRO, PEQUEÑA Y MEDIANA EMPRESA.
Emplear contraseñas más fuertes con factor de doble autenticación. Establecer políticas
Además de alentar a sus empleados a emplear contraseñas complejas de contraseñas
que cumplan con las características mínimas de seguridad. seguras.
Red interna
Identificar los limites de red de su empresa y evaluar el tipo de control
necesario, Configurar los dispositivos fronterizos sólo para permitir
conexiones hacia y desde las direcciones IP públicas de su empresa,
Asegurar la red
implementar protecciones de firewalls en el perímetro de su red para
interna y servicios
restringir peticiones únicamente hacia servicios necesarios y configurar
en la nube.
sistemas de prevención de intrusos para supervisar actividades
sospechosas dentro de la red.
Servicios en la nube
Consultar términos y condiciones de su proveedor de servicios en la
nube, asegurarse que la información y actividades estén protegidas,
solicite seguridad y auditorias según las necesidades de su empresa y
revise los acuerdos de nivel de servicio además de consultar servicios
adicionales como respaldos de información y cifrado.
1717
Enlaces de ayuda
18
MANUAL BÁSICO DE CIBERSEGURIDAD
PARA LA MICRO, PEQUEÑA Y MEDIANA EMPRESA.
Para proteger su empresa contra fraudes en línea, tenga cuidado al visitar enlaces
web o abrir archivos adjuntos de remitentes desconocidos, asegúrese de mantener
todo el software actualizado y monitoree constantemente las cuentas bancarias para
detectar actividades no autorizadas.
19
19
Plan de acción de ciberseguridad
Prevención de estafas y fraude electrónico
Muchas empresas están siendo víctimas del malware para registrar las
pulsaciones de teclas hechas en la computadora infectada, lo que
Protegerse contra permite a los delincuentes ver contraseñas, números de tarjetas de
el malware. crédito y otros datos personales, se recomienda que los dispositivos
electrónicos cuenten con un software antimalware, el cual permitirá
detectar y eliminar amenazas maliciosas.
20
MANUAL BÁSICO DE CIBERSEGURIDAD
PARA LA MICRO, PEQUEÑA Y MEDIANA EMPRESA.
Clientes:
Empleados:
2121
Plan de acción de ciberseguridad
Seguridad en la Red
No se deje engañar • Asegúrese de que su organización cuente con una política que
por las falsas explique cuál es el procedimiento si la computadora de un empleado
ofertas de se infecta con un virus informático.
antivirus. • Capacite a sus empleados para reconocer un mensaje de advertencia
legítimo.
• Configure sus computadoras para que no permitan que los usuarios
sin privilegios tengan acceso administrativo para instalar cualquier
otro tipo de software.
Verificar la
identidad de las
Asegúrese de capacitar a los empleados para que nunca revelen
personas que
información del cliente o de la empresa, nombres de usuario,
hablan a la
contraseñas u otros detalles confidenciales a las personas que llaman.
empresa
Siempre verificar la identidad y la validez de la persona y su solicitud.
solicitando
información.
22
MANUAL BÁSICO DE CIBERSEGURIDAD
PARA LA MICRO, PEQUEÑA Y MEDIANA EMPRESA.
Enlaces de ayuda
3.5. Privacidad y
seguridad de datos
La seguridad de los datos es crucial para todas las pequeñas empresas. Información
de los empleados, clientes, información de pago, archivos personales y detalles de la
cuenta bancaria: toda esta información a menudo es imposible de reemplazar si se
pierde además de ser peligrosa en manos de delincuentes. La pérdida de datos
debido a desastres como una inundación o un incendio es devastadora, pero perderla
a causa de ciberdelincuentes o por una infección de malware puede tener
consecuencias mucho mayores. La forma en cómo maneja y protege sus datos es
fundamental para la seguridad de su negocio y las expectativas de privacidad de los
clientes, empleados y socios.
23
23
Plan de acción de ciberseguridad
Privacidad y seguridad de datos
24
MANUAL BÁSICO DE CIBERSEGURIDAD
PARA LA MICRO, PEQUEÑA Y MEDIANA EMPRESA.
Enlaces de ayuda
Los servidores web, que alojan los datos y otro contenido disponible para sus
clientes en Internet, a menudo son los componentes más expuestos y
atacados de la red de una empresa. Los ciberdelincuentes están
constantemente buscando sitios web poco seguros para atacar, mientras que
muchos clientes dicen que la seguridad del sitio web es una consideración
importante cuando eligen comprar en línea. Como resultado, es esencial
proteger los servidores y la infraestructura de red que los respalda. Las
consecuencias de una violación de seguridad son grandes: pérdida de
27
27
Ejemplos de amenazas de seguridad específicas para servidores web:
Identificar posibles Todas las empresas deben tomarse el tiempo para identificar los
riesgos de riesgos potenciales para su reputación y desarrollar una estrategia para
reputación. mitigar esos riesgos a través de políticas u otras medidas disponibles.
28
MANUAL BÁSICO DE CIBERSEGURIDAD
PARA LA MICRO, PEQUEÑA Y MEDIANA EMPRESA.
Enlaces de ayuda
3.7. Seguridad en
servicios de correo
electrónico
29
29
Plan de acción de ciberseguridad
Seguridad en servicios de correo electrónico
30
MANUAL BÁSICO DE CIBERSEGURIDAD
PARA LA MICRO, PEQUEÑA Y MEDIANA EMPRESA.
Enlaces de ayuda
3.8. Políticas de
seguridad
3131
Todas las empresas deben desarrollar y mantener políticas claras y sólidas para salvaguardar datos
críticos de la empresa e información sensible, proteger su reputación y evitar el comportamiento
inapropiado de los empleados.
Muchos de estos tipos de políticas ya existen para situaciones del "mundo real", pero pueden
necesitar adaptarse a su organización y actualizarse para reflejar el impacto creciente del
ciberespacio en las transacciones cotidianas, tanto profesionales como personales. Al igual que con
cualquier otro documento de la organización, las políticas de seguridad cibernética deben seguir
buenas prácticas de diseño y gobernanza, evitando que se vuelvan inutilizables y sean revisadas
periódicamente para garantizar que sigan siendo pertinentes a medida que su empresa cambia.
Recuerde que para mayor resultados dentro de la implementación y desarrollo de sus políticas
debe abordar todos los requisitos como las leyes federales, estatales o locales.
32
MANUAL BÁSICO DE CIBERSEGURIDAD
PARA LA MICRO, PEQUEÑA Y MEDIANA EMPRESA.
Enlaces de ayuda
3.9. Respuesta a
incidentes de
seguridad
33
33
Aún con estructuras y planes de seguridad cibernética bien implementados, no se pueden evitar
violaciones a los mecanismos de seguridad que resguardan los datos de su empresa, por lo que
debe asegurarse de contar con procedimientos para responder a dichas violaciones de seguridad
cuando ocurran.
Tipos de incidentes:
• Incidentes físicos: incluyen incidentes del mundo real, como robos y extravío de equipos, así
como cualquier evento en el que los equipos de su empresa se vean afectados.
• Incidentes de seguridad de red: incluyen eventos cuando las computadoras se infectan con
código malicioso, personas no autorizadas acceden a ellas de forma remota o son utilizadas por
personas autorizadas para realizar alguna actividad maliciosa.
• Incidentes de exposición de datos, es decir, la fuga o la divulgación de información sensible
en canales inseguros, pueden ser el resultado de cualquiera de los tipos de eventos descritos
anteriormente.
34
MANUAL BÁSICO DE CIBERSEGURIDAD
PARA LA MICRO, PEQUEÑA Y MEDIANA EMPRESA.
35
35
Enlaces de ayuda
36
MANUAL BÁSICO DE CIBERSEGURIDAD
PARA LA MICRO, PEQUEÑA Y MEDIANA EMPRESA.
Analizar las
• ¿Quién podría ser un ciberdelincuente (por ejemplo, competidores,
amenazas.
intrusos informáticos con motivaciones políticas, etc.)?
• ¿Cuáles son los objetivos del ciberdelincuente?
• ¿Qué acciones podría tomar el delincuente cibernético?
• ¿Qué información crítica tiene el cibercriminal de las operaciones de
su empresa? (es decir, ¿qué información está ya disponible
públicamente?)
38
MANUAL BÁSICO DE CIBERSEGURIDAD
PARA LA MICRO, PEQUEÑA Y MEDIANA EMPRESA.
39
39
Plan de acción de ciberseguridad
Seguridad de las operaciones
Enlaces de ayuda
40
MANUAL BÁSICO DE CIBERSEGURIDAD
PARA LA MICRO, PEQUEÑA Y MEDIANA EMPRESA.
3.11. Seguridad en
mecanismos de
pago electrónico
Si su empresa acepta pagos con tarjetas de crédito o débito, es importante contar con
medidas de seguridad para garantizar la seguridad de la información de sus clientes.
También puede tener obligaciones de seguridad según los acuerdos con su banco o
procesador de servicios de pago. Estas entidades pueden ayudarlo a prevenir fraudes.
Además, hay recursos gratuitos y consejos generales de seguridad disponibles para
aprender cómo mantener segura la información sensible, más allá de la información
de pago.
41
41
Plan de acción de ciberseguridad
Seguridad de las operaciones
Haga una lista del tipo de información de clientes y tarjetas que recopila y
guarda: nombres, direcciones, información de identificación, números de
tarjetas de pago, datos de banda magnética, detalles de cuentas bancarias y
Realice un números de Seguridad Social. No son sólo los números de tarjeta lo que los
directorio con criminales quieren; están buscando todo tipo de información personal,
los datos de especialmente si les ayuda a cometer un robo de identidad:
clientes y sus
tarjetas. • Es importante tener presente dónde guarda esa información y cómo está
protegida.
• Determine quién tiene acceso a estos datos y si necesitan tener acceso.
• Realice los avisos de privacidad conducentes.
Una vez que sepa qué información recopila y almacena, evalúe si realmente
necesita conservarla. A menudo las empresas pueden no darse cuenta de
qué están registrando o de lo contrario mantienen datos innecesarios hasta
Evalúa si
que realizan una auditoría.
necesitas
conservar
Si ha estado usando números de tarjeta para fines distintos a las
todos los datos
transacciones de pago, como un programa para identificar más rápido a sus
que
clientes, pregúntele a su procesador financiero si puede utilizar datos
almacenas.
alternativos. El uso de tokens, por ejemplo, es una tecnología que enmascara
los números de tarjeta y la reemplaza con un número alternativo que no
puede usarse para el fraude.
42
MANUAL BÁSICO DE CIBERSEGURIDAD
PARA LA MICRO, PEQUEÑA Y MEDIANA EMPRESA.
Use
• El código CVV2 es el número de tres dígitos en el panel de firma
herramientas
que puede ayudar a verificar que el cliente tenga posesión física
y recursos de
de la tarjeta y no sólo el número de cuenta.
seguridad.
• Los minoristas también pueden usar el Servicio de verificación
de direcciones para asegurarse de que el titular de la tarjeta
proporcionó la dirección de facturación correcta asociada con la
cuenta.
• Los servicios como Verified by Visa solicitan al titular de la
tarjeta que ingrese una contraseña personal que confirma su
identidad y proporciona una capa adicional de protección.
43
43
Para los minoristas :
Use
• Pase la tarjeta y obtenga una autorización electrónica para la
herramientas y
transacción.
recursos de
• Verifique que la firma coincida con la tarjeta.
seguridad.
• Asegúrese de que su terminal de pago esté seguro y protegido
contra manipulaciones.
Enlaces de ayuda
• Visa ofrece una guía de seguridad de datos para pequeñas empresas como parte de su
Programa de seguridad de la información del titular de la tarjeta:
http://usa.visa.com/download/merchants/uscc-cyber-security-guide-2012.pdf
44
MANUAL BÁSICO DE CIBERSEGURIDAD
PARA LA MICRO, PEQUEÑA Y MEDIANA EMPRESA.
Proteger a los empleados y miembros del público que visitan sus instalaciones es una
responsabilidad compleja y desafiante. También es una de las principales prioridades
de su empresa.
45
45
Plan de acción de ciberseguridad
Seguridad física
46
MANUAL BÁSICO DE CIBERSEGURIDAD
PARA LA MICRO, PEQUEÑA Y MEDIANA EMPRESA.
Enlaces de ayuda
47
47
Glosario
Amenaza:
Circunstancia desfavorable que puede ocurrir y que cuando sucede tiene consecuencias negativas
sobre los activos provocando su indisponibilidad, funcionamiento incorrecto o pérdida de valor.
Cloud computing:
Permite a los usuarios almacenar información, ficheros y datos en servidores de terceros, de forma
que puedan ser accesibles desde cualquier terminal con acceso a la nube o a la red, resultando de
esta manera innecesaria la instalación de software adicional (al que facilita el acceso a la red) en el
equipo local del usuario.
Cifrado:
Es un procedimiento que utiliza un algoritmo para codificar los datos con cierta clave, de tal forma
que dejan de estar en su con cierta clave para transformar un mensaje formato original por lo que
no se pueden leer, es decir son incomprensibles o al menos difícil de comprender a toda persona
que no tenga la clave del algoritmo.
Comercio electrónico:
Es el desarrollo de operaciones comerciales a través de internet, tales como el proceso de compra,
venta o intercambio de bienes, servicios e información a través de la redes de comunicación.
Criptomoneda:
Es una moneda virtual que se crea y se almacena electrónicamente, no está regulada por ningún
tipo de gobierno, el precio de una moneda virtual se determina por la oferta y la demanda.
48
MANUAL BÁSICO DE CIBERSEGURIDAD
PARA LA MICRO, PEQUEÑA Y MEDIANA EMPRESA.
Encriptar:
Proteger archivos expresando su contenido en un lenguaje cifrado. Los lenguajes
cifrados simples consisten, por ejemplo, en la sustitución de letras por números.
IDS:
Un sistema de detección de intrusos (o IDS de sus siglas en inglés Intrusion Detection
System) es una aplicación usada para detectar accesos no autorizados a un ordenador o
a una red.
Incidente cibernético:
Es un intento organizado e intencionado causado por una o más personas para causar
daño o problemas en un sistema informático o red, consiste en aprovechar una
debilidad o falla en el software, en el hardware e incluso en las personas que forman
parte de un ambiente informática, que compromete la confidencialidad, integridad o
disponibilidad de la computadora o información almacenada en ella.
INEGI:
Es un organismo público autónomo responsable de normar y coordinar el Sistema
Nacional de Información Estadística y Geográfica, así como de captar y difundir
información de México en cuanto al territorio, los recursos, la población y economía, que
permita dar conocer las características de nuestro país y ayudar a la toma de decisiones.
Ingeniería social:
Son tácticas utilizadas para obtener información datos de naturaleza sensible, en
muchas ocasiones claves o códigos, de una persona. Estas técnicas de persuasión suelen
valerse de la buena voluntad y falta de precaución de la víctima.
Internet:
Es una red de redes que permiten la interconexión descentralizada de computadoras a
través de un conjunto de protocolos denominado TCP/IP.
IP:
Las direcciones IP (del acrónimo inglés IP para Internet Protocol) son un número único e
irrepetible con el cual se identifica a todo sistema conectado a una red.
49
49
Glosario
IPS:
Intrusion Prevention System (sistema de prevención de intrusión) Es un software que se utiliza para
proteger a los sistemas de ataques y abusos. La tecnología de prevención de intrusos puede ser
considerada como una extensión de los sistemas de detección de intrusos (IDS), pero en realidad
es una tecnología más cercana a los cortafuegos.
LAN:
Local Area Network: Red de Área Local. Red de computadoras interconectadas en un área
reducida, por ejemplo, una empresa.
Malware:
Es un tipo de software que tiene como objetivo dañar o infiltrarse sin el consentimiento de su
propietario en un sistema de información. Palabra que nace de la unión de los términos en inglés
de software malintencionado: malicious software .
Página web:
Una de las páginas que componen un sitio de la WorldWideWeb. Un sitio web agrupa un conjunto
de páginas afines. A la página de inicio se la llama "home page".
Phishing
Conocido como suplantación de identidad, es un término informático que denomina un modelo
de abuso informático y que se comete mediante el uso de un tipo de ingeniería social,
caracterizado por intentar adquirir información confidencial de forma fraudulenta.
Política de seguridad:
Son las decisiones o medidas de seguridad que una empresa ha decidido tomar respecto a la
seguridad de sus sistemas de información después de evaluar el valor de sus activos y los riegos a
los que están expuestos.
50
MANUAL BÁSICO DE CIBERSEGURIDAD
PARA LA MICRO, PEQUEÑA Y MEDIANA EMPRESA.
Ransomware:
Es un programa de software malicioso que infecta y restringe el acceso a un sistema y
muestra mensajes exigiendo el pago de un rescate para reestablecer el funcionamiento
del sistema, también es conocido como rogueware o sacreware. Los ataques más
peligrosos han sido WannaCry, Petya, Cerber, Cryptolocker y Locky.
Spam:
Correo electrónico no solicitado. Se lo considera poco ético, ya que el receptor paga por
estar conectado a Internet.
SSL:
Es un protocolo criptográfico seguro que proporciona comunicaciones seguras a través
de una red (por ejemplo Internet). Generalmente comunicaciones cliente-servidor.
Virus informático:
Es un programa de código que se carga en un equipo de forma arbitraria, los cuales son
diseñados para infectar y propagarse para tomar el control del sistema.
Vulnerabilidad informática
Es una debilidad o falla en un sistema de información que pone el riesgo la seguridad de
la información, permitiendo que un atacante pueda comprometer la integridad,
disponibilidad o confidencialidad del a misma
5151
Secretaría de Seguridad y Protección Ciudadana
Guardia Nacional
CERT-MX
Centro Nacional de Respuesta a Incidentes Cibernéticos
088
delito_ciberneticopf@sspc.gob.mx
@GN_MEXICO_
GUARDIA.NACIONAL.MX