EG Consultores - Eduardo Guacapiña, CISA

EG Consultores - Eduardo Guacapiña, CISA Servicios de Consultoría en Auditoría Informática, Riesgo Operativo de TI,
Proyectos de Desarroll

El Consultor Eduardo Guacapiña tiene una experiencia profesional de más de 15 años en el área de Tecnología y Sistemas, especialmente en Auditoría Informática, cuenta con la Certificación CISA (Certified Information Systems Auditor), otorgada por la ISACA (Information Systems Audit and Control Association-Asociación de Auditoría y Control de Sistemas de Información). Ha trabajado en Firmas de Audi

toría internacionales y nacionales, en empresas comerciales, financieras, públicas, ONG’s y del sector bancario y de cooperativas, realizando trabajos de auditoría y consultoría en el país y en el exterior. Cuenta con estudios superiores de Ingeniería en Sistemas e Informática, cursos y seminarios de capacitación en sistemas, auditoría financiera, auditoria informática, procesos y riesgos tecnológicos, seguridades en entornos tecnológicos, ethical hacking, realizados dentro y fuera del país. Adicionalmente ha dictado cursos de capacitación en temas relacionados con auditoria informática y seguridad de la información.

Principales medidas de control y seguridad que una Institución debe aplicar para realizar teletrabajo en esta época de c...
21/04/2020

Principales medidas de control y seguridad que una Institución debe aplicar para realizar teletrabajo en esta época de crisis y a futuro:

1. Medidas de Gobierno y Gestión

• El Nivel Directivo de la Institución NO debe asumir que todos los empleados pueden cambiar a una dinámica de teletrabajo de manera efectiva y con poca necesidad de asistencia u orientación, y tener claro que el hogar no es la oficina y pueden necesitar una ayuda y tiempo considerable para adaptarse a la modalidad de teletrabajo.

• Dividir la Institución en grupos de trabajo de acuerdo a las prioridades de operación de la Institución y atención a clientes, considerando el criterio de Proceso Crítico: “Es el indispensable para la continuidad del negocio y las operaciones de la institución, y cuya falta de identificación o aplicación deficiente puede generarle un impacto financiero negativo.”

o Personal estrictamente necesario que debe trabajar de manera presencial desde la oficina matriz (en el horario controlado por las autoridades nacionales y locales),
o Personal que realmente requiere trabajar en modalidad teletrabajo (accediendo a los recursos informáticos de la Institución de manera remota y ejecutando videoconferencias),
o Personal que requiere efectuar únicamente videoconferencias
o Personal que no requiere acceso al teletrabajo y puede efectuar otras actividades de apoyo, por ejemplo vía telefónica.

• Una vez establecidos los grupos para teletrabajo, se deben actualizar las políticas y procedimientos relacionados con seguridad de la información y ciberseguridad en la Institución y forma de trabajo, para adaptarlas a esta nueva modalidad de trabajo del personal. Las políticas y procedimientos actualizadas deben ser aprobadas por el Nivel Directivo de la Institución y socializadas al personal para su conocimiento y aplicación. Las actualizaciones de las políticas y procedimientos al menos deben incluir:
o Detalle del personal autorizado para realizar teletrabajo, y normas de trabajo para este personal: metas de trabajo y objetivos a alcanzar diariamente, semanalmente, mensualmente, reportes y entregables, medios de comunicación, niveles de supervisión, recursos requeridos.
o Horarios de acceso a los recursos tecnológicos vía teletrabajo.
o Actualización y/o mantenimiento del inventario de activos de información
o Medios de comunicación (enlaces) por los que se puede acceder (Internet, VPN, etc.).
o Herramientas autorizadas por el departamento de TI para el teletrabajo y videoconferencias.
o Utilización y medidas de cuidado y seguridad de equipos portátiles y otros equipos informáticos de la Institución, que el personal autorizado utilizará desde su hogar.
o Controles de acceso lógico a la Infraestructura y recursos tecnológicos de la Institución vía teletrabajo.
o Respaldo de la información generada y procesada vía teletrabajo, medios de almacenamiento y equipos de almacenamiento.
o Utilización de roles y cuentas de usuario de los sistemas informáticos de la Institución, a los que se accederá vía teletrabajo.
o Niveles de autorización para conceder accesos adicionales a recursos y sistemas de la red de datos Institucional al personal durante la ejecución del teletrabajo.
o Activación de registros (logs de auditoría) de las actividades y transacciones efectuadas por el personal en modalidad teletrabajo.
o Procedimiento de soporte técnico remoto por parte del personal del departamento de TI.
o Control de cambios y administración de los sistemas informáticos de la Institución vía remota.
o Refuerzo de medidas y reglas de control de los equipos de seguridad perimetral de la Institución.

• Los recursos mínimos requeridos para trabajar en modalidad teletrabajo son:
o Una computadora (de escritorio o portátil)
o Una buena conexión a Internet
o Aplicaciones informáticas para chat, webmail, videoconferencia (herramientas colaborativas)
o Un espacio de trabajo dedicado (preferiblemente)
o Un teléfono (opcional)
o Automotivación y disciplina
o Procedimientos para una rutina estricta de teletrabajo y objetivos a alcanzar.

• Es importante actualizar el inventario de activos de información con su clasificación de acuerdo a la metodología establecida por la Institución, con el objetivo de definir por ejemplo, cuáles son los datos sensibles que requieren mayores niveles de protección, a qué información se puede acceder desde dispositivos personales, a cuál por fuera de la red de la empresa y a cuál debe restringirse el acceso total.
• Las áreas de control de la Institución como: Auditoría Interna, Riesgos, Cumplimiento, Seguridades Físicas y Seguridad de la Información, deben adecuar sus procedimientos de verificación y control a las actividades de teletrabajo, para mantener el nivel de control interno y seguridad, minimizar riesgos, cumplimiento de la normativa interna de la Institución y de los organismos de control, y apoyar a la Gerencia y Nivel Directivo en el control y gobierno institucional.
• Conocer y aplicar las resoluciones, normas, leyes y acuerdos ministeriales de las autoridades del país y organismos de control relacionados con el teletrabajo y crisis sanitaria.

2. Medidas de Ciberseguridad

Es importante que las Instituciones se preparen a sí mismas y también a sus empleados para enfrentar los riesgos vinculados a la ciberseguridad con el teletrabajo, por lo que a continuación se describe los principales controles que deben ser considerados e implementados:

• Seguridad física de los equipos y dispositivos de la Institución

Los empleados que estén autorizados a llevar equipos y dispositivos de computación para trabajar desde su casa estarán exponiendo a un mayor riesgo a estos equipos de la Institución en la medida que no tengan presente la seguridad del lugar de trabajo en su hogar, por lo que deben establecer las siguientes medidas de seguridad física y control en su hogar con el apoyo del personal de TI para minimizar los riesgos de pérdidas, daños y fuga de información de la Institución:

o Cifrado completo de disco duro, esto garantiza que incluso si el dispositivo cae en las manos equivocadas, no se puede acceder a los datos de la Institución.
o Cierre de sesión cuando no esté usando la computadora, tanto en casa como en lugares públicos.
o Aplicar una política de contraseña segura: longitud mínima de caracteres, combinación de caracteres, números, letras mayúsculas, contraseña en el arranque del equipo, establecer tiempos para la suspensión del equipo según el tiempo de inactividad y prohibir las notas con contraseñas pegadas al equipo.
o Nunca perder de vista el equipo y si debe trasladarse fuera del hogar con el mismo, no dejarlo a la vista pública y si el traslado es en auto debe ser guardado en el baúl.

• Entorno tecnológico del hogar

Con el soporte del personal de TI de la Institución se debe efectuar una evaluación del entorno tecnológico del hogar de los empleados autorizados a efectuar teletrabajo, para detectar posibles vulnerabilidades en los equipos de comunicación y computadores que tienen en este entorno, como por ejemplo: servicio de internet compartido, claves débiles en los equipos del servicio de Wifi, proveedores de servicios de internet y comunicación no fiables, equipos domésticos conectados a Internet que pueden estar sujetos a vulnerabilidades relacionadas con el Internet de las Cosas (IoT), falta de uso de software antivirus o antivirus desactualizado, uso de herramientas de comunicación o videoconferencia de versión libre o gratuitas (free) que están expuestos a mayores vulnerabilidades, versiones antiguas de sistemas operativos instalados en los computadores del hogar que comparten la red Wifi que son otro punto de vulnerabilidad en el entorno tecnológico el hogar.

Si es factible el personal de TI debe aplicar una aplicación de monitoreo antes de permitir que los dispositivos y computadores de trabajo se conecten a las redes domésticas. El escaneo o monitoreo resaltará los dispositivos con vulnerabilidades conocidas, la existencia de software o firmware obsoleto o la presencia en uso de contraseñas predeterminadas que deberían cambiarse.

• Acceso a la red y sistemas de la Institución

Se deben establecer los siguientes controles y medidas de seguridad:

o Con el soporte del personal de TI se debe establecer si el personal autorizado para efectuar teletrabajo necesita acceso a la red de datos interna de la Institución o únicamente acceso a servicios y correo electrónico basados en la nube. Es importante que se otorgue a los empleados de teletrabajo el mismo nivel de acceso a los datos confidenciales de la Institución cuando trabajan de manera presencial, que cuando están trabajando de manera remota.
o Se debe evaluar si es necesario aplicar el Principio del Menor Privilegio, que es una estrategia de seguridad, aplicable a distintos ámbitos, en este caso al teletrabajo que se basa en otorgar a los empleados únicamente permisos cuando son necesarios para el desempeño de cierta actividad.
o Para el acceso a la red de datos interna de la Institución:

 Únicamente se debe permitir acceso a la red interna de la Institución a través de un dispositivo o computador portátil que sea propiedad de la Institución, para que el control total del dispositivo que se conecta esté bajo el control del personal de seguridad de la información o del departamento de TI, solo para casos de excepción y justificados se debe otorgar acceso a través de otro equipo que no pertenezca a la Institución.
 El uso obligatorio de una VPN (Virtual Private Network - Red Privada Virtual), para conectar a los trabajadores remotos a la red de datos interna de la organización.
 Se debe controlar y normar el uso de dispositivos externos de almacenamiento, como memorias flash, discos duros externos, así como dispositivos periféricos.

o Si es necesario dar acceso al correo electrónico y a los servicios en la nube institucionales desde un dispositivo o computador de propiedad del empleado, se deben aplicar los siguientes controles:
 Aplicar las mismas políticas de seguridad de antimalware, firewalls, IDS/IPS etc., que se aplica para una computadora administrada o de propiedad de la Institución. Si es necesario, se debe proporcionar al empleado una licencia para las mismas soluciones o herramientas informáticas utilizadas en los dispositivos y equipos de propiedad de la Institución, adquiriendo las licencias adicionales requeridas.
 Se debe limitar la capacidad de almacenar, descargar o copiar datos.
 Si es factible se debe hacer uso de máquinas virtuales para proporcionar acceso: esto mantiene al empleado en un entorno controlado y limita la exposición de la red de datos de la Institución al entorno doméstico.

• Herramientas colaborativas y procesos de autorización de transacciones

Las herramientas colaborativas (chat, videoconferencia, presentaciones virtuales, etc.), conjuntamente con los procesos de autorización de transacciones previenen problemas de seguridad o ataques malintencionados.

o Se debe proporcionar acceso controlado a sistemas y herramientas informáticas de chat y videoconferencias autorizadas y licenciadas por la Institución, para que los empleados puedan comunicarse entre sí. Esta es una estrategia que permitirá a la Institución proporcionar herramientas de productividad necesarias a los empleados y ayuda a que puedan mantenerse en contacto de manera segura entre ellos.
o El uso de herramientas colaborativas permite a la Institución protegerse contra instrucciones o transacciones no autorizadas, debido a que en el entorno de teletrabajo y presencial existe la probabilidad de que los ciberdelincuentes aprovechen la oportunidad para lanzar ataques de Business Email Compromise (BEC).

• Capacitación

Debido a la crisis sanitaria en el país y mundial por el COVID-19, hay numerosas estafas circulando por el Internet y redes sociales, que hacen uso de Ingeniería Social y otras técnicas de ciberataques. Cuando los empleados de la Institución están fuera de su lugar de trabajo, en lugares más informales como su hogar, pueden considerar hacer clic en los enlaces que reciben, ya que no están bajo el entorno de control y supervisión de la Institución, y pueden ver videos, correos de destinatarios desconocidos o visitar páginas web no autorizadas.

Las capacitaciones al personal de la Institución sobre concientización en seguridad informática y ciberseguridad es un control importante y preventivo para trabajar en un entorno de teletrabajo, por lo tanto, es importante reforzar esta capacitación a través del personal de la Institución experto en estos temas o proveedores externos especializados y minimizar el riesgo de errores humanos (Ingeniería Social) que los ciberdelincuentes permanentemente intentan explotar.

Se debe ejecutar una campaña y establecer como un requisito, la capacitación en estos temas antes de que el empleado comience a trabajar de forma remota vía teletrabajo o tan pronto como sea posible.

• Soporte Técnico y Gestión

o Es de suma importancia que ante la urgencia o exigencia de otorgar el servicio de teletrabajo o acceso remoto a un empelado de la Institución, no se sacrifique las medidas y controles de seguridad informática y ciberseguridad o la capacidad de administrar sistemas y dispositivos. La capacidad del personal del departamento de TI en brindar soporte a los usuarios que trabajan de manera remota será esencial para garantizar un funcionamiento sin problemas, especialmente si los usuarios quedan en cuarentena debido a problemas de salud. Los trabajadores remotos deben tener protocolos de comunicación claros, tanto para con el área de soporte de TI como para la gestión de crisis, si se enfrentan a problemas inusuales o si sospechan que podrían ser el resultado de una brecha de seguridad.
o Para el soporte técnico remoto por parte del personal de TI se debe eliminar o limitar el uso del protocolo RDP (Protocolo de Escritorio Remoto) por ser vulnerable.
o A continuación, se detallan algunos factores clave para el soporte y gestión de teletrabajo efectivo:
 Comunicación: considere realizar llamadas grupales una vez al día, informar a las personas sobre la situación y darles a todos la oportunidad de compartir experiencias y problemas.
 Capacidad de respuesta: el trabajo remoto no es lo mismo que trabajar en un entorno de oficina. Establezca pautas claras de qué tan rápido se espera que un trabajador remoto responda a una solicitud, dependiendo del tipo de comunicación, ya sea un correo electrónico, una invitación de calendario, etc.
 Informes: las Gerencias, Jefaturas y Responsables de áreas deben implementar procedimientos que les permitan determinar si los trabajadores remotos están haciendo el trabajo: reuniones grupales obligatorias, colaboración en equipo, informes diarios / semanales / mensuales.
 Horario de teletrabajo: acuerde un método de inicio y finalización de la jornada laboral, esto puede ser tan simple como pedir a los miembros de un chat grupal que digan “buenos días” cuando comienza su jornada.
 Salud y seguridad: Trabajar desde casa no elimina la responsabilidad de proporcionar un buen ambiente de trabajo al empleado.
 Responsabilidad: garantice la cobertura de los activos de la Institución mientras estén en manos del empleado.
 Soporte técnico: envíe una lista con los contactos útiles y disponibles para el soporte técnico. De esta manera los trabajadores remotos sabrán con quien comunicarse cuando sea necesario.
 Socialización: reúna a los trabajadores remotos, especialmente de manera virtual. La interacción social es una parte importante de la motivación y aumenta la productividad. Considere un esquema de amigo o mentor para que cada empleado esté emparejado y pueda resolver problemas, desahogarse, compartir o socializar virtualmente.

Ciberseguridad-Disuasión Digital
29/05/2017

Ciberseguridad-Disuasión Digital

Con los recientes acontecimientos internacionales relativos a “WannaCry” y las reiteradas noticias que advierten sobre nuevas escaladas de ataques

Pasos Básicos para proteger mis computadores de ataques del Rasomware WannaCry
17/05/2017

Pasos Básicos para proteger mis computadores de ataques del Rasomware WannaCry

Debemos estar siempre preparados para las nuevas amenazas de Ciberseguridad
15/05/2017

Debemos estar siempre preparados para las nuevas amenazas de Ciberseguridad

Ayer fue un día duro en el mundo, WannaCry secuestro miles de equipos en el mundo, siendo los países más afectados España, Inglaterra (Toda ...

31/12/2015

JCM-15 All rights reservedJeimy Cano, Ph.D, CFEFollowUnfollowFollowingLoadingConexión consciente. Siete prácticas para habilitar una visión trascendente en seguridad de la informaciónDec 27, 20154 views0 Likes0 CommentsShare on LinkedInShare on FacebookShare on Twitter La próxima década promete esta…

Para ampliar el portafolio de servicios a nuestros clientes hemos obtenido la Certificación Cobit 5 Foundation (Marco de...
14/12/2015

Para ampliar el portafolio de servicios a nuestros clientes hemos obtenido la Certificación Cobit 5 Foundation (Marco de Negocio para el Gobierno y la Gestión de Tecnología de Información de la Empresa), por lo que estamos acreditados para brindar asesoramiento en este estándar internacional, cuyo objetivo principal es proveer un Marco de trabajo Integral que ayude a las Empresas a Alcanzar sus Objetivos para el Gobierno y la Gestión de las TI corporativas.

04/11/2015

Cómo Padres, nos hemos hecho esta pregunta alguna vez ?
¿A qué edad debe tener un niño su primer teléfono móvil?

Según los datos de 2014, el 30% de los niños de 10 años tienen un móvil: a los 12 este porcentaje alcanza el 70%, llegando al 83% a los 14.

Escoger el momento adecuado para entregar a los menores su primer smartphone puede generar debate y confusión.

¿Cuál es la edad recomendada para tener el primer smartphone?

Uno de los primeros entretenimientos que entregamos a los niños hoy en día es un smartphone o una tablet.

También lo saben los padres, que disfrutan de una comida más tranquila, de un silencioso viaje en coche…

Vaya por delante que no nos postularemos acerca de la conveniencia o no del uso de dispositivos para los niños en edad temprana, ni entraremos en analizar cuánto tiempo deben tenerlos.

En este artículo veremos cuál es la edad recomendada para que un niño reciba su primer smartphone, así como cuestiones relativas a las condiciones de uso, la responsabilidad que conlleva, aspectos relacionados con la seguridad de los menores, etc.

Primer smartphone a los 12-13 años

Según los datos de 2014, el 30% de los niños de 10 años tienen un móvil: a los 12 este porcentaje alcanza el 70%, llegando al 83% a los 14.

Los 12 o 13 años son una buena edad para acceder a su primer smartphone, cuando ya han alcanzado cierto grado de madurez y responsabilidad, al tiempo que empiezan a necesitar cierta independencia e intimidad.

A esta edad los niños ya han formado un grupo de amistades en el colegio, en los deportes, las actividades extra escolares y sus necesidades de relacionarse empiezan a cambiar (además, entran en escena los grupos de WhatsApp).

Por ello, retrasar demasiado el acceso al smartphone podría aislar al menor de sus amistades y perjudicar sus relaciones, sin duda muy importantes para ellos en esta etapa.
Concienciación, educación y seguridad

Este acceso de los menores a su primer smartphone será “en propiedad relativa”.
¿Qué quiere decir esto? Que será propio del niño o niña, pero con ciertas normas, condiciones y control que determinarán para cada caso los padres o tutores.

Pero no todo son reglas. Los usuarios de smartphone (niños y mayores) deben conocer los riesgos a los que les expone su uso para poder detectarlos, enfrentarlos o evitarlos.

No queremos alarmar, pero mucho menos pecar de confiados y que se den situaciones peligrosas para los menores.

Su curiosidad puede llevarlos a ver contenidos inapropiados; a ser contactados por desconocidos; a sufrir acoso a través del móvil o las redes sociales (grooming o cyberbullying); a exponerse a robos de información e imágenes; a gastos elevados…

Evitar estos riesgos es el leitmotiv de numerosas plataformas y servicios que han surgido para educar, concienciar y ayudar en el uso de Internet, las nuevas tecnologías y los dispositivos.

Recomendaciones:

Aunque cada padre o tutor tendrá sus propias directrices, más o menos permisivas en cuanto al uso del smartphone, aquí les dejo unas pocas recomendaciones:

•Establecer tiempos de uso y límites, como apagarlo después de la cena y hasta el día siguiente.
•El móvil no estará presente cuando se sienten a la mesa.
•Establecer un límite de gasto mensual, para que sean conscientes y responsables del consumo que hacen.
•Los mayores pueden fijar una contraseña en el smartphone para que no puedan hacer compras en apps y juegos sin supervisión.
•A la hora de ir a dormir, el teléfono quedará en una zona común de la casa.
•Evitará que los niños hagan un uso excesivo y se creen problemas de adicción, ansiedad, trastornos del sueño y descenso en el rendimiento escolar.
•Estará apagado en las horas de clase.

“Para los padres: ser ellos un ejemplo de uso responsable”.

Fuente:
http://blog.elhacker.net/2015/10/a-que-edad-debe-tener-un-nino-su-primer-telefono-movil-smartphone.html

Activos Intangibles, su valor es muy importante dentro de la empresa, pero muchas veces no son considerados dentro de la...
03/11/2015

Activos Intangibles, su valor es muy importante dentro de la empresa, pero muchas veces no son considerados dentro de la protección de activos institucional.

No cabe la menor duda que cada día la información cobra mayor importancia en la estrategia corporativa. En este sentido, las medidas que se incorpore

Es posible que este fallo en Facebook continue a la presente fecha si no ha sido solucionado.
19/10/2015

Es posible que este fallo en Facebook continue a la presente fecha si no ha sido solucionado.

Un fallo de seguridad, catalogado como crítico, permite robar una cuenta de Facebook en un minuto

Dirección

Quito
170412

Horario de Apertura

Lunes 08:30 - 19:00
Martes 08:30 - 19:00
Miércoles 08:30 - 19:00
Jueves 08:30 - 19:00
Viernes 08:30 - 19:00
Sábado 09:00 - 17:00

Teléfono

+59322281543

Página web

Notificaciones

Sé el primero en enterarse y déjanos enviarle un correo electrónico cuando EG Consultores - Eduardo Guacapiña, CISA publique noticias y promociones. Su dirección de correo electrónico no se utilizará para ningún otro fin, y puede darse de baja en cualquier momento.

Contacto La Empresa

Enviar un mensaje a EG Consultores - Eduardo Guacapiña, CISA:

Compartir

Categoría