23 JUL 2021 · Tema: Ciberataques Bienvenidos a este episodio de ¡No Te expongas! en esta edición nos acompaña Rubén Peña, líder del dominio de Privacidad y Seguridad de la Información de la Oficina TIC del Minagricultura, quien nos hablará sobre las situaciones de seguridad más comunes que se pueden presentar en un ecosistema digital, más exactamente de los ciberataques. Hola Rubén gracias por acompañarnos en este episodio, qué te parece si para iniciar le contamos a nuestros oyentes ¿qué es un ciberataque? Ing. Rubén Peña: Un saludo a todos nuestros oyentes, muchas gracias Nidia por la invitación y claro que sí, un ciberataque no es una cosa diferente que un ataque que se ejecuta a través de redes de comunicación, es decir, que utiliza una red informática para su propagación. Esto es debido a que los ciberdelincuentes se aprovechan del desconocimiento de los usuarios para cometer actos delictivos. Nidia Galindo: De acuerdo a lo anterior Rubén, ¿existe alguna clasificación de los ciberataques? Ing. Rubén Peña:Claro que sí, existen ciberataques dirigidos a plataformas tecnológicas que tienen como finalidad explotar alguna vulnerabilidad y ciberataques dirigidos propiamente a las personas, en donde los ciberdelincuentes buscan aprovecharse del desconocimiento de los usuarios para obtener reconocimiento o incluso algún beneficio para sí mismos o para un tercero. Hoy hablaremos específicamente de los ciberataques dirigidos a las personas. Nidia Galindo: Teniendo en cuenta lo que mencionas Rubén, ¿cómo pueden los ciberdelincuentes materializar un ciberataque y aprovecharse de ese desconocimiento de los usuarios? Ing. Rubén Peña: Realmente hay muchas maneras, pero la mayoría de los ciberdelitos (es decir delitos informáticos) se materializan es a través de los ciberataques de ingeniería social y de malware. Nidia Galindo: Para adentrar un poco más en esta problemática cibernética a los oyentes, cuéntanos ¿qué es un ataque de ingeniería social? Ing. Rubén Peña: Los ataques por ingeniería social se basan en un conjunto de técnicas dirigidas a nosotros, los usuarios, y su principal objetivo es conseguir que revelemos información personal o incluso que permitamos al atacante tomar control de nuestros dispositivos. Este tipo de ataques por lo general se propagan a través de correos electrónicos. Los ciberdelincuentes envían mensajes a las víctimas, con asuntos urgentes o promociones muy llamativas, incluso fingen ser una entidad bancaria o un ente de control, que persuaden a las víctimas a través de correo electrónicos a hacer clic en enlaces que dirigen a sitios web fraudulentos (a esto se le conoce como phishing), los mensajes también pueden contener invitaciones a los usuarios a descargar archivos adjuntos, o incluso les sugiere compartir datos que el atacante pide en sus mensajes. Nidia Galindo: Bueno Rubén, y ¿cómo pueden hacer los usuarios de Minagricultura para protegerse de los ataques de ingeniería social? Ing. Rubén Peña: Pues Nidia, el principal consejo que le puedo brindar a los usuarios es que sean precavidos y lean los mensajes detenidamente, especialmente si se trata de mensajes remitidos por entidades con peticiones urgentes, promociones o mensajes demasiado atractivos. Nidia Galindo: Perfecto Rubén, que otras pautas pueden seguir nuestros oyentes para evitar ser víctimas de phishing: Ing. Rubén Peña: Inicialmente, detectar errores gramaticales en el mensaje, y si se trata de un asunto urgente o acerca de una promoción muy atractiva, es muy probable que se trate de un fraude. Por otro lado, revisar que el enlace coincida con la dirección a la que apunta, y, en cualquier caso, debemos ingresar la url nosotros directamente en el navegador, sin copiar y pegar. Nunca ingresar a la página web de su banco a través de un enlace que recibió en un correo electrónico. También se debe comprobar el remitente del mensaje, no contestarlo nunca y eliminarlo. Y, por último, recuerden reportar cualquier situación sospechosa. Nidia Galindo: Listo Rubén, seguro nuestros oyentes tendrán en cuenta estas recomendaciones y las seguirán al pie la letra a fin de evitar ser víctimas de ciberataques por medio de Ingeniería Social, ahora cuéntanos respecto a los ataques de tipo Malware, de qué se tratan. Ing. Rubén Peña: Por supuesto Nidia, para contextualizar un poco a nuestros oyentes frente a este tema, les cuento que recientemente en el Ministerio se están recibiendo este tipo de ciberataques, en donde los ciberdelincuentes a través de mensajes de Ingeniería Social llaman la atención de los usuarios y los persuaden para descargar archivos adjuntos o acceder a enlaces en Internet para descargarlos. Por lo general el asunto de los mensajes trata de facturas, comparendos, citaciones a juzgados, demandas, entre otros, e indica a los usuarios que deben acceder a los archivos para conocer el contenido. Estos archivos contienen virus, que en el momento en que son ejecutados por las víctimas instalan programas dañinos que se propagan en la red infectando aplicaciones, pudiendo llegar a modificar o eliminar los archivos almacenados en los equipos de cómputo. Son capaces de dañar un sistema, eliminando o corrompiendo datos esenciales para su correcto funcionamiento. Nidia Galindo: Preocupante Rubén, y cuéntanos ¿cómo podemos protegernos de estos ataques?. Ing. Rubén Peña: Sí Nidia, es bastante complicado controlar esta situación, pero al igual que para protegernos de los ciberataques de Ingeniería Social, debemos ser precavidos, desconfiar de mensajes de dudosa procedencia, pero, sobre todo, no descargar ni abrir o ejecutar archivos contenidos en correos electrónicos de los cuales no tenemos conocimiento. Recordemos que si se infecta nuestro equipo es bastante probable que no sea el único y que toda la red quede expuesta. Nidia Galindo: Ya para finalizar Rubén ¿qué deben tener en cuenta nuestros oyentes o qué deben hacer si sospechan que a sus correos ha llegado un mensaje de dudosa procedencia? Ing. Rubén Peña: Deben tener en cuenta que la Oficina TIC puede ayudarlos para evitar que sean víctimas de un ciberataque, solo deben reportar cualquier situación sospechosa. Nidia Galindo: Excelente Rubén, muchas gracias por acompañarnos en este episodio de ¡No te expongas!, a todos nuestros oyentes, esperamos que este contenido haya sido de su total interés y nos vemos en una próxima edición.

14 APR 2021 · Bienvenidos a este primer episodio de ¡No te expongas¡ donde Manuel Pulido y quien les habla Nidia Galindo les contaremos brevemente sobre la Política de Seguridad y Privacidad de la Información del Ministerio de Agricultura y Desarrollo Rural. Hola Manuel gracias por acompañarnos en este episodio de hoy, cuéntanos un poco sobre el objetivo de la Seguridad de la Información en el Ministerio. Gracias Nidia por la invitación, bueno, para iniciar, les cuento que el principal objetivo de la seguridad de Información es la preservación de los principios básicos de confidencialidad, es decir garantizar que solo tengan acceso a la información quienes estén autorizados. Otro principio es la integridad, la cual busca mantener los datos libres de modificaciones no autorizadas, y por último, la disponibilidad que se trata de la propiedad de contar con la información en el momento en que sea requerida. ¿Cuéntanos qué acciones ha tomado la Entidad para fortalecer y preservar los principios anteriormente mencionados? El Ministerio de Agricultura y Desarrollo Rural ha implementado el Sistema de Gestión de Seguridad de la Información, siendo este un sistema de gestión dinámico, de mejora continua, basado en el ciclo PHVA, es decir, Planear, Hacer, Verificar y Actuar. Que consiste en una serie de actividades que deben realizarse mediante procesos sistemáticos, documentados y conocidos por todo el Ministerio, con el fin de afianzar un marco de gestión de riesgos y proteger los activos de información institucional. Es así, que el Ministerio preserva las características de confidencialidad, integridad y disponibilidad de los activos de información que hacen parte de cada uno de los procesos institucionales, a través de la adopción de políticas institucionales e implementación de medidas y mecanismos de gestión de riesgos de seguridad de la información, proporcionales a su criticidad. Por otro lado sabemos que el Ministerio de Agricultura busca la adecuada gestión de los riesgos, la adopción de buenas prácticas en el uso de los activos de información requeridos para el cumplimiento de la misionalidad institucional, explícanos en qué consiste... Claro, consiste en Formular, Coordinar y Evaluar las políticas que promuevan el desarrollo competitivo, equitativo y sostenible de los procesos agropecuarios forestales, pesqueros y de desarrollo rural, con criterios de descentralización, concertación y participación, que contribuyan a mejorar el nivel y la calidad de vida de la población colombiana y la mejora continua de las competencias del talento humano. Gracias Manuel, es importante aclarar que este no es un proceso que se realice solo, y su eficiencia depende de varios aspectos y responsables, cuéntanos un poco sobre esto… Por supuesto Nidia, la eficiencia de la Política de Seguridad y Privacidad de la Información se logra mediante el liderazgo y compromiso de la Alta Dirección y la participación de los funcionarios, contratistas y terceros en lograr el nivel de cumplimiento adecuado de los lineamientos y requisitos de seguridad de la información determinados, así como el desarrollo de estrategias de mejora continua y gestión oportuna ante incidentes de seguridad. Como toda política, esta cuenta con unos objetivos que le apuntan a su cumplimiento, nos podrías contar brevemente sobre estos… Claro, uno de los objetivos es realizar la gestión del riesgo en todos los procesos del Sistema Integrado de Gestión del Ministerio, así como sensibilizar a las partes involucradas, sean funcionarios, contratistas, terceros o proveedores sobre aspectos relacionados con la Gestión de Seguridad de la Información, a fin de generar y fortalecer la cultura. Por otro lado es importante definir e implementar medidas y mecanismos técnicos de seguridad de la información que protejan los activos, ante amenazas internas o externas y por último, garantizar un proceso de mejoramiento continuo en la aplicación de los controles requeridos para la gestión de los riesgos de seguridad identificados en los activos de información institucionales. En cuanto al alcance, cuéntanos cuál es la cobertura en los procesos del Ministerio de Agricultura.. Esta política aplica a los procesos estratégicos, de evaluación y control, misionales y de apoyo, lo cual se ve reflejado en las matrices de riesgos institucionales y son desarrollados directamente en el Sistema de Gestión de Seguridad de la Información. Y para terminar Manuel, coméntanos para quien aplica esta política de seguridad y privacidad de la información.. Esta debe ser aplicada por los funcionarios, contratistas, asesores, directivos, proveedores y en general la ciudadanía que tiene relación directa con los activos de información institucionales. Perfecto Manuel, muchas gracias por tu tiempo y por este espacio de transferencia de conocimiento, a todos nuestros oyentes, esperamos este espacio haya sido de su interés y nos vemos en el próximo episodio de ¡No te expongas! Fuente: Política de Seguridad y Privacidad de la Información https://bit.ly/3g8hYiA