La percepción de riesgos: un imperativo en la red de la UO.(III y final)

Correo electrónico protegidoEn esta última entrega da continuidad a los aspectos que desde el punto de vista de la precepción de riesgo preentan mayor incidencia para la seguridad informática en la red de la Universidad de Oriente. No se han tratado todos, pero son una alerta para que la actuación esté precedida de la meditación acerca de las consecuencias y del conocimiento para actuar.

6. Poco celo en control de las contraseñas por parte de los usuarios.

En muchas ocasiones ante violaciones de la seguridad informática se admite que se prestó la cuenta a un amigo que se le acabó la cuota de navegación y ocurre que este amigo se la presta a otro y la cuenta se convierte en algo de uso público.

Es recurrente el hecho de que muchas personas dan clic sin apenas leer y responden de manera positiva al mensaje que pregunta si “recuerda la contraseña” lo que provoca que toda persona que se siente en la PC utiliza en la navegación esta cuenta, algo similar ocurre con los gestores de correo electrónico que no utilizan la vía de la web donde se guardan contraseñas.

A esto se puede sumar las malas prácticas en la construcción de contraseñas, donde se usan con mucha frecuencia palabras fácilmente deducibles si se busca en la historia familiar del propietario de la cuenta.

Aún se mantiene en usuarios la práctica de responder mensajes que solicitan datos de las cuentas a nombres de supuestos administradores de red a partir del uso de la ingeniería social.

Estos ejemplos no son los únicos y son muestra de la baja percepción de riesgos en torno a la necesidad de un control eficiente en el uso de las contraseñas. Estas deben ser difíciles dededucir, secretas, utilizar combinaciones de letras mayúsculas y minúsculas, números ysímbolos, evitando por todas los medios palabras que puedan ser detectadas con aplicaciones de diccionario. Además queda claro que estasviolaciones de la seguridad informáticason la causa de que muchos usuarios se vean implicados en violaciones graves.

7.Limitaciones en el conocimiento de la base legal de la seguridad informática en Cuba.

El modo de actuación de los usuarios en la red UO es una muestra palpable de que no se conoce adecuadamente la legislación cubana en materia de seguridad informática.

Una muestra de esta afirmación es que se considera que la resolución 60/2011 de la Contraloría General de la República de Cuba solo incide en los asuntos económicos, cuando es el punto de partida para el desarrollo de cualquier análisis vinculado a la definición de riesgos y como enfrentarlos a partir de la creación de un mecanismo que incluye cuatro momentos: “planificar” las políticas objetivos y las mejoras de seguridad, el “hacer” como vía para garantizar la implementación adecuada de los controles, “verificar” como la evaluación del desempeño de los procesos propuestos y el “actuar” visto como la aplicación de las acciones preventivas y correctivas para lograr las mejoras de un sistema informático.

Por otra parte la resolución 127/07 del Ministerio de Comunicaciones (antes MIC), es el reglamento de seguridad informática de la República de Cuba y si bien tiene más de una década de creada aún está vigente y es aplicable en la realidad cubana. En ella se establecen las obligaciones de los usuarios y otras cuestiones que son violadas muchas veces por desconocer su existencia y el fundamento que posee esta norma legal.

8. El uso de dispositivos móviles que se conectan a las redes y carecen de programas antivirus y configuraciones de seguridad adecuadas.

A diario más de 800 personas se conectan a la red de la UO con dispositivos móviles que no tienen definidas adecuadamente los mecanismos de seguridad y además carecen de sistemas antivirus y con ello entrar sin preocupación alguna a las redes sociales, donde están hoy las fuentes más notables de códigos maliciosos responsables del robo de datos, la creación de dispositivos zoombies, estafas en el saldo, llamadas o mensajes a números sin el consentimiento del propietario que afectan el saldo, intercepción de los canales de comunicación con snifers para robar datos bancarios y muchos otros  que constituyen parte de la gama de delitos informáticos que se manifiestan en las tecnologías de la información y las comunicaciones.

9. El uso de webproxy en la navegación.

Esta práctica tan común entre algunos usuarios de la red UO Net mina la seguridad y abre las puertas a los intrusos al crear túneles que se usan “para salir sin ser vistos” y navegar en sitios de diversa índole y cuya seguridad resulta dudosa, otra acción es la de perpetuar la presencia en las redes sociales sin percibir que igual que salen de forma subrepticia esta canal  también pueden ser usado por los cibercriminales  para introducirse en la red posibilitando ataques a la red institucional. Este aspecto ha sido expuesto en otras ocasiones con más detalle en el Blog de seguridad Informática de la UO.

Finalmente es necesario recalcar que debe  desecharse la idea de que en mis datos no hay nada de interés para los ciberatacantes porque no se conocen los objetivos que tienen y en segundo lugar porque la obtención de las credenciales de un usuario real de una red hace más fácil el trabajo a estas personas y genera mayores problemas a nuestra red. Por ello, antes de actuar, hay que pensar en las consecuencias que pudiera tener lo que se hace.

Esta entrada fue publicada en amenazas, códigos malignos, contraseñas, dispositivos móviles, hackers, Incidentes, password, percepción de riesgo, piratas informáticos, seguridad en redes sociales, webproxy. Guarda el enlace permanente.

Deja una respuesta