UNIDAD 1

Conceptos básicos de seguridad informática

Objetivo

Identificar los conceptos básicos que deben tenerse en cuenta en materia de

seguridad informática.
informática

Conceptos básicos

Actualmente la seguridad de la información ha tomado mucha importancia en las

organizaciones, debido a que esta se encarga de proteger uno de los activos más
importantes en las compañías como lo es la información, para este curso nos
enfocamos en la Seguridad Informática que se encarga de definir los lineamientos
que como empleados debemos tener presentes para proteger la información del
negocio en medios electrónicos y/o magnéticos.

Evolución del término seguridad

• Dentro de la evolución de la seguridad en las organizaciones sociales se

destacan varios eventos en la historia que es importante conocer.

• La primera evidencia de una cultura y organización en seguridad “madura”

aparece en los documentos de la Roma Imperial y Republicana.

• El próximo paso de la seguridad fue la especialización. Así nace la seguridad

externa (aquella que se preocupa por la amenaza de entes externos hacia la
organización) y la seguridad interna (aquella preocupada por las amenazas
de nuestra organización con ella misma).

• Desde el siglo XVIII, los descubrimientos científicos y el conocimiento

resultante de la imprenta han contribuido a la cultura de la seguridad. Los
principios de probabilidad, predicción y reducción de fallos y pérdidas han
traído nueva luz a los sistemas de seguridad.

• La seguridad moderna se originó con la Revolución Industrial para combatir

los delitos y movimientos laborales que fueron tan comunes en aquella
época (periodo histórico comprendido entre la segunda mitad del siglo XVIII y
principios del XIX).
 • Desde el punto de vista técnico, la seguridad está en manos de la dirección
de las organizaciones. Sin embargo, es en cada uno de nosotros y en el
grado de conciencia personal respecto a la importancia del conocimiento
propio de la Organización que debemos velar por la seguridad de la
información. Es en este proceso, en donde se aprecia que no se ha añadido
ningún nuevo concepto a los ya conocidos en la antigüedad, los actuales sólo
son evoluciones: llaves, cerraduras, cajas fuertes, puertas blindadas,
trampas, vigilancia, entre otros.

Seguridad informática

El objetivo de la seguridad informática será mantener la integridad, disponibilidad y

confidencialidad de la información.

Integridad La información debe ser precisa, coherente

y completa desde
su creación hasta su destrucción.

Disponibilidad La información debe estar en el momento y

en el formato que se requiera ahora y en el
futuro, al igual que los recursos necesarios
para su uso
Confidencialidad a información sólo debe ser conocida por
personas autorizadas.
En caso de falta de confiabilidad, la
información puede provocar severos daños
a su dueño (por ejemplo conocer
antecedentes médicos de una persona),
volverse obsoleta (por ejemplo los planes
de desarrollo de un producto que se
"Filtran" a una
empresa competidora, facilitarán a esta
última desarrollar un
producto de características semejantes) o
atentar contra el
“know how” de la compañía.

Análisis del objetivo de la seguridad informática

Ejemplificando los términos anteriores tenemos: si a usted le abren el carro sin
autorización, están violando la confidencialidad, si además le extraen algún objeto
le están violando la integridad y si se lo roban afectan la disponibilidad.

Para comenzar el análisis de la seguridad informática se deberá conocer las

características de lo que se pretende proteger, en este caso la información.

En principio definimos dato como la unidad mínima con la que se compone cierta
información y el concepto de información la definimos como una agregación de
datos que tiene un significado específico y tendrá un sentido particular según cómo
y quién la procese.

Ejemplo: 1, 9, 8 y 7 son datos; su agregación 1987 es Información. Establecer el

valor de la información es algo totalmente relativo, pues constituye un recurso que,
en muchos casos, no se valora adecuadamente debido a su intangibilidad, cosa que
no ocurre con los equipos, las aplicaciones y la documentación.

Dominio público
Es la información que no tiene que tener ningún criterio de seguridad ya que por
sus características puede ser consultada, entregada o divulgación a todo tipo de
público (personas internas, externas de la compañía y miembros de la
competencia). Por ejemplo, la misión y visión de la Compañía.

Restringida
Es aquella información que requiere un grado intermedio de confidencialidad, ya
que su conocimiento y divulgación por parte de personas no autorizadas puede
causar daños a la Compañía o a sus miembros. Como ejemplos de Información
restringida tenemos: información del negocio, proveedores, empleados y asesores.

Confidencial
Es aquella información que requiere el máximo grado de protección, ya que su
conocimiento y divulgación por parte de personas no autorizadas puede causar
graves daños a la Compañía. La información confidencial es para uso del dueño de
la información ó ejecutivos de altos rangos que estén por encima de él, si esta
información cae en manos de terceros se puede atentar contra el know how de la
Compañía, por ejemplo: Las notas técnicas de los productos, información que dañe
la estabilidad financiera, económica o monetaria de la empresa, o información que
contenga campañas, estrategias, recomendaciones o puntos de vista que formen
parte de un producto nuevo que se encuentra en estudio y no haya salido al
mercado.

¿Qué debemos proteger?

En cualquier sistema informático existen tres elementos básicos a proteger: el

hardware, el software y la información. De estos, la información son los más
importantes ya que son el resultado del trabajo realizado.

Si existiera un daño del hardware o del software, estos se pueden adquirir

nuevamente desde su medio original, pero la información son obtenidos en el
transcurso del tiempo y por eso son imposibles de recuperar.

Es necesario contar con un sistema de copias de seguridad, pero aún así es difícil
devolver la información a su forma anterior cuando ocurre un daño.

Contenido de la Política de Seguridad Informática

Actualmente Suramericana cuenta con una infraestructura tecnológica que ayuda a

proteger la información. Esas herramientas, junto con el grupo de personas que lo
administran, se constituyen en el primer frente de defensa del recurso informático,
pero esta labor debe ser también responsabilidad de todas aquellas personas a las
cuales se les ha dado autorización a consultar, actualizar o modificar la
información.

La seguridad informática es una carta de navegación que indica las obligaciones y

responsabilidades frente al correcto uso de la información. Para hacer aún más
efectivas estas normas, se incluyen una serie de recomendaciones sobre el manejo
que debemos darle a la plataforma tecnológica que la Compañía suministra para
poder desempeñar el trabajo.
 UNIDAD 2
Internet y correo electrónico

Objetivo

Conocer los conceptos de Internet y el correo electrónico, además de hacer énfasis

en los riesgos y las medidas de seguridad que que se deben implementar en la
Compañía con el uso de estas herramientas.

Internet

Medio de información

Internet puede compararse con una gran biblioteca, a cuya sala de lectura es
posible acceder desde prácticamente cualquier computador del mundo conectado
a la red. Sin embargo, a diferencia de la biblioteca, donde sólo los administradores
están facultados para introducir libros o documentos, Internet permite que los
usuarios agreguen información, lo que contribuye al mayor crecimiento de la
información disponible.

Medio de comunicación

Como medio de comunicación Internet ofrece una gama de canales de enlace,

entre los que se hayan, la comunicación escrita (por ejemplo, el e-mail, Messenger
entre otros), la comunicación verbal (contacto por teléfono, Voz IP entre otros) e
incluso comunicación visual (Videos y teleconferencia en Internet entre otros).

Beneficios adquiridos con Internet

• El número de servicios y los contenidos disponibles en Internet crecen día a

día.
Se puede encontrar cualquier tema de interés: noticias, diccionarios,
enciclopedias, deportes, tiendas, viajes, redes sociales académicas, etc.

• Los usuarios pueden realizar diferentes operaciones tales como, comprar,

consultar, hacer transacciones bancarias, enviar mensajes y documentos a
otros usuarios, inclusive se puede realizar operaciones tan complejas como
transar en la bolsa de valores.
 • Diariamente, millones de personas intercambian mensajes, boletines,
información a través del
e-mail; establecen contactos con otros usuarios, comparten ideas, hacen
nuevos amigos, entre otros.

Correo electrónico

El correo electrónico hace posible enviar en segundos mensajes a otros usuarios

de la red, sin importar el lugar del mundo en el que se encuentre, ya que este
servicio utiliza la conexión a Internet.

Riesgos asociados a Internet y al correo electrónico

El uso de cualquier medio de información o sistema de comunicación lleva

implícitos ciertos riesgos de seguridad. Unos de los ejemplos más representativos
es el siguiente:

Es posible que personas no autorizadas abran las cartas, lean los faxes de los
cuales no son destinatarios o se intervengan las comunicaciones telefónicas. Igual
ocurre con Internet y el uso del correo electrónico, para que conozcas los riesgos
asociados a estas herramientas.

Debido a que en Internet la información se transmite con gran facilidad, un tercero

que conozca bien el sistema sería capaz de interceptar la información enviada,
leerla e incluso alterarla.
Esta posibilidad debe quedar bien clara para el usuario y, por lo mismo, debe
abstenerse de transmitir mediante Internet información a la que se otorga el trato
de confidencial, a menos que se tomen las medidas de seguridad necesarias para
el caso.

Como Internet está disponible para todo el mundo, no resulta exagerado suponer
que los programas y archivos que allí se encuentran puedan estar infectados por
virus informáticos o de computador y que, por ello, el uso de dichos programas y
archivos represente un grave peligro para los usuarios que los usan.

Descarga de archivos disponibles en Internet los cuales puedan generar daño a la

información de su computador.
Medidas básicas de seguridad informática

Si una persona desea comunicarse vía correo electrónico con otra persona de
manera confidencial debe disponer de la medidas y herramientas necesarias que lo
garanticen. Para esto debe usar software de encripción, firmas digitales, entre
otras herramientas.

• Como usuario de Internet debes mantener en secreto tus credenciales

(usuarios y contraseñas) de acceso.

• Las contraseñas deben ser complejas de adivinar y se deben cambiar

periódicamente, ya que la mayor parte de accesos no autorizados que se
registran en Internet se deben a que se eligieron claves de acceso muy
sencillas o a que no se cambian con regularidad. Se recomienda usar
contraseñas que combine números y letras (mayúsculas y minúsculas).

• Examinar con un programa antivirus toda la información que descargue

desde Internet antes de abrirla.

• Utilizar dispositivos tecnológicos para evitar que usuarios no autorizados

puedan acceder a sus recursos tecnológicos.

• Recuerda que tú eres es la persona mas indicada para proteger la

información de la Compañía y por lo tanto Internet no debe ser usado para
propósitos ilegales, no éticos, o que puedan afectar el buen nombre de la
misma.

Uso aceptable del correo electrónico e Internet según la Política de Seguridad

Informática

Las siguientes recomendaciones aplican para ambos servicios: uso de internet y

correo electrónico.

Los usuarios deben utilizar ambas herramientas en asuntos relacionados con las
funciones laborales y se debe tener claridad en que algunos puntos de vista
expresados pueden ser de las persona y no representan necesariamente la
posición de la Compañía.

• Activar en el correo la regla de “Fuera de oficina” cuando se encuentre en

periodo de vacaciones o licencia.
 • Ser responsables por el contenido del texto o imágenes que se envíen o
publiquen en nombre de La Compañía.

• Ejecutar el antivirus sobre todos los archivos recibidos.

• Enviar todo mensaje de correo electrónico mostrando al final la firma del

dueño de la cuenta según el protocolo de comunicaciones definido por La
Compañía.

Son acciones no permitidas en el correo electrónico suministrado por La Compañía:

• Enviar o distribuir material de propiedad de la Compañía (derechos

reservados) sin autorización.

• Usar el correo electrónico para contactos e intercambio de información del

negocio sin autorización del dueño respectivo, de tal manera que puedan
afectar negativamente la reputación de La Compañía o su relación con las
entidades que la vigilan.

• Enviar información que pueda acarrear acciones legales en contra de la

Compañía.

• Transmitir cualquier contenido que pueda tener carácter ofensivo, molesto o

fraudulento.

• Enviar información diferente a la clasificada como de dominio público por

este medio.

• Enviar correos masivos al interior o exterior de la organización en horas

consideradas como de alto tráfico en la red (horario de oficina).

• Enviar correos que por su tamaño se consideren pesados de acuerdo a las

normas definidas por la Gerencia de Infraestructura y Soporte.
• Transmitir información por medio del correo electrónico relacionada con:

• Comunicaciones personales y/o otros intereses personales.

• Creencias políticas, culturales o religiosas personales.

• Propósitos comerciales privados no relacionados a la organización, chistes,

donativos, obras de caridad, mensajes políticos, entre otros.

• Cadenas de mensajes (generación o reenvío de las mismas).

• Discriminación basada en raza, creencia, color, género, religión,

limitaciones físicas u orientación sexual.

• El servicio de Internet suministrado por La Compañía debe ser usado de

manera efectiva, ética y legal. Ejemplos de uso aceptable de Internet son:

• Usar sitios o páginas web comerciales para obtener información de interés

para el negocio.

• Acceder a información que se necesita para el negocio.

• Herramienta de poyo para las funciones propias del cargo.

Son ejemplos de usos no aceptables o no permitidos de Internet desde la

red de La Compañía:
• Descarga o distribución de materiales pornográficos.

• Descarga de programas instaladores o ejecutables.

• Dirigir negocios personales.

• Dedicar el tiempo destinado para la ejecución de las labores propias del

cargo, para otros fines diferentes, valiéndose de Internet, pues esto afecta
de manera considerable la productividad y la infraestructura de redes de La
Compañía.

• Acceder y visitar sitios en Internet que no tengan relación con la operación

de La Compañía.

• Visitar páginas que ofrezcan servicios de música o video en línea o servicios

de emisoras de radio y/o televisión por Internet.

• Visitar páginas mediante los cuales se pueda incorporar un virus a la red de

La Compañía.
 UNIDAD 3
Virus informáticos
informáticos

Objetivo

Conocer acerca de los virus que afectan el correcto funcionamiento de los equipos
y algunas estrategias para prevenirlos.

Unidad 3.
Virus informáticos

Antes, el término "virus" se empleaba sólo dentro del campo de las ciencias
médicas y biológicas para definir a microorganismos capaces de penetrar en el ser
humano y destruir o alterar el contenido genético celular provocando cuadros
patológicos específicos.

Por similitudes en su modo de acción y efectos, en informática se bautizó como

virus a ciertos programas que pueden autoreproducirse o "transmitirse" de un
computador a otro y desencadenar daños a la información contenida en él o incluso
al mismo equipo.

Medio Descripción

Unidades de disco extraíbles Los disquetes u otras unidades de disco

extraíbles como CD-ROM, memorias USB,
unidades ZIP; pueden almacenar
programas, archivos, páginas web o
mensajes de correo que incluyen archivos
infectados.
Redes de Si la información a la que se accede, o la
computadores que es transmitida, de un computador a
otro por medio de una red estuviese
infectada, los computadores que acceden a
ella, o que intervienen en su transferencia,
podrían infectarse igualmente.

A través de Internet la propagación de un

Redes de virus puede realizarse empleando
diferentes caminos: Correo electrónico,
computadores
 Páginas web, Transferencia de archivos
(FTP), Descargas (programas, música,
videos, entre otros) entre otros.

En un mensaje enviado o recibido se

Correo electrónico
pueden incluir
documentos o archivos infectados. Al abrir
el mensaje y ejecutar o abrir el archivo
incluido en él, el computador del
destinatario será atacado por el virus.

Páginas Web Si una página en web incluye un virus de

código HTML que incluye secciones de
código dinámico (que
ejecuta programas como ActiveX o Applets,
o realiza determinadas acciones)
sólo con visitarla podríamos infectarnos.

Transferencia de archivos (FTP) Mediante FTP se pueden colocar

Descargas (download)
documentos en computadores que se
encuentran en cualquier parte del mundo
(upload) o copiar archivos de estos
computadores al nuestro
(download). Los archivos descargados a
nuestro computador contener virus.
Una de las actividades más realizadas por
los usuarios en Internet es la descarga de
programas, documentos, software, entre
otros. Por este motivo, es muy importante
descargar archivos solamente de sitios que
cuenten con las suficientes garantías de
seguridad.

¿Cómo sé que mi computador tiene un virus?

Es posible sospechar sobre la existencia de un virus en el computador, pero

sólo se tendrá la certeza completa cuando se detecte utilizando alguna
herramienta antivirus (programas que detectan y eliminan virus).

Algunas de las acciones que puede llevar a cabo un virus son:

• Se muestran mensajes en pantalla.
 • Se hace lento el trabajo.
• Cambian las características de algunos archivos
• Desaparecen archivos y/o carpetas
• El computador no arranca
• Se pierde todo el contenido del disco duro, entre otras
• En ocasiones (cada vez más) los virus llegan incluidos en mensajes de
correo electrónico, por lo que es importante eliminar todos aquellos
mensajes sospechosos y/o no solicitados.

Qué nos dice la Política de Seguridad Informática respecto a los virus?

Los virus de computador son programas diseñados para hacer cambios no

autorizados sobre los programas o los datos, por lo tanto los virus pueden causar
destrucción o afectar la disponibilidad de los recursos de la Compañía.

No se debe introducir un virus, con conocimiento previo, sobre ningún computador

de la Compañía.

Cualquier memoria USB, CD o archivo que descargues de Internet debe ser

chequeado con el antivirus antes de ser leído.

Si por alguna razón sospechas que tu computador ha sido infectado por un virus,
informa inmediatamente a la Gerencia de Infraestructura y Soporte.
 UNIDAD 4
Manejo de usuarios y contraseñas

Objetivo

Concientizar a los colaboradores sobre la importancia que tiene el manejo de

nombre de usuario y contraseña para la seguridad de la información.

Manejo de usuarios y contraseñas

Los controles de acceso son de vital importancia ya que permiten proteger los
recursos tales como programas, archivos, transacciones, comandos, herramientas,
y en general toda la información de la Compañía.

A continuación se especifican los lineamientos principales para implementar los

mecanismos de control sobre el acceso a la información.

Perfil de usuario

Todo usuario utilizado en cualquiera de los recursos informáticos con los que
cuenta actualmente la Compañía, debe estar asociado a un perfil el cual define el
alcance o tipo de información a la cual los usuarios asociados tengan acceso.

Usuario

• Debe exigirse que todo recurso informático que adquiera la Compañía y el

cual esté orientado al manejo de información del negocio, tenga como
mínimo un manejo de usuarios y perfiles de usuarios.

• Los usuarios son responsables de las claves que tienen asignadas. Por
ningún motivo debe divulgarse o intercambiarse claves con otros usuarios.
Cualquier resultado de no cumplimiento de este punto, quedará
exclusivamente bajo responsabilidad del empleado (usuario) al cual
pertenece la clave.

• Las claves o mecanismos de acceso que sean otorgados son

responsabilidad exclusiva de sus dueños y no deben ser divulgados a ningún
tercero tanto al interior como al exterior de la compañía, incluyendo
personal de soporte tecnológico.
 • Si necesitas crear, modificar o eliminar algún usuario de alguna de las
plataformas de la Compañía, o necesitas generar privilegios adicionales, se
debe hacer una solicitud utilizando catálogo de servicios. Estas solicitudes
solo deben ser realizadas por Directores y Gerentes.

• Se debe evitar guardar un registro de sus claves en papel o en algún medio o

documento electrónico, a menos que esto puede guardarse en lugar seguro.

• Cambiar las claves siempre que exista cualquier indicio de un posible

compromiso del sistema o de las mismas contraseñas.

Creando claves seguras

Una clave puede ser el punto más vulnerable en un sistema y es la que tiene más
probabilidades de ser atacada.
Al definir una clave, debe evitarse que esté asociada a fechas especiales
(cumpleaños, aniversarios, entre otros), nombres de personas, mascotas, objetos o
lugares u otra cosa que pueda ser deducida de manera fácil y rápida por un tercero.
Se considera que una clave es segura cuando está compuesta por letras (tanto
mayúsculas como minúsculas), números, caracteres especiales y si tiene una
longitud de por lo menos 8 caracteres.

NOTA. Debe tenerse presente que en una clave no pueden utilizarse caracteres con
tilde, las letras Ñ o ñ y signos como + - * / ^ ~).

• No basta con que la clave sea por ejemplo pepito22 o gato443, en lo posible
debes crear contraseñas que no sean fácilmente adivinadas.

• Puedes utilizar cualquier palabra, pero "desfigurándola" introduciendo entre

las letras que la componen números y signos e incluso cambiando algunas
de las letras por caracteres en mayúscula, de manera que la hagas más
difícil de deducir pero a la vez sea de fácil recordación.

• Una técnica que te puede facilitar lo anterior, es tener presente como

"código secreto" para nuestras claves, que siempre se remplazará todo
carácter "u" por un "7" y las "c" por una "M", de esta manera una clave
 podría quedar así:
Usa la palabra: cuchitril y reemplázala por: M7Mhitril y hazla más
complicada: M7Mhi$tril

• Si aplicas esta sencilla técnica, estarás dando un buen nivel de seguridad a

nuestras claves, pero recuerde que si esta información no es manejada con
el nivel de confidencialidad necesario, de todas maneras se está poniendo en
riesgo la información de la Compañía que está bajo nuestra responsabilidad

Cuándo y cómo reiniciar las claves

El reinicio de una clave consiste en eliminar el valor actual que esta tiene y
asignarle uno nuevo, procurando que una vez se ingrese al respectivo sistema con
esta clave, automáticamente se pida el cambio de la misma para que solo el
usuario dueño sea quien finalmente la conozca.

El reinicio de una clave es una tarea exclusiva del usuario administrador, no debe
ser ejecutada por un usuario con privilegios diferentes. Esta tarea debe estar sujeta
al procedimiento para reinicio de claves.

La ocurrencia de alguno de los siguientes eventos debe generar el procedimiento

para reinicio de claves, este debe aplicar para cualquiera de las plataformas.

• Olvido de clave.

• Cuando tengas certeza o sospecha de que el valor de la clave está

comprometido, es decir, se tiene la seguridad de que este dato no es
exclusivo del usuario dueño de la misma.

• Luego de haberse hecho mantenimiento en un servidor, equipo de

telecomunicaciones o en bases de datos.

• En caso de una contingencia en la cual la clave de un usuario deba ser

requerida por un tercero debidamente autorizado por la Gerencia de
Infraestructura y Soporte.

• Bloqueo del usuario por intentos fallidos de autenticación.

• Usuario expirado pero que tiene renovación de contrato. Es decir, aquellas

personas cuyo contrato llegó a su fecha de vencimiento pero que fue
renovado.
 • Al ocurrir esto el usuario automáticamente se bloquea para la red, el correo
y las aplicaciones. Es necesario desbloquearlo y reiniciar su clave una vez
renueve su contrato..

• Vencimiento de oportunidades para cambiar clave de red.

¿Qué dice la Política de Seguridad Informática en cuanto al uso de usuarios y

claves?

La confidencialidad e integridad de los datos almacenados en los sistemas de la

Compañía deben ser protegidos por controles que aseguren que solo personas
autorizadas tengan acceso.

Las claves son personales e intransferibles, no se deben divulgar a terceros.

Igualmente, deben ser cambiadas inmediatamente si se sospeche que otros tienen
conocimiento de éstas.

Las claves no deben estar escritas y disponibles donde otros puedan tener acceso
fácilmente a ellas.

Cada persona es responsable por todas las transacciones que se realicen usando
su usuario y clave.

Todos los usuarios sin excepción, deben cambiar la clave de acceso a los sistemas
de información según la periodicidad y políticas definidas por la Gerencia de
Infraestructura y Soporte.

Se debe emplear el protector de pantalla con clave con un tiempo de activación

máximo de 15 minutos. Todos los usuarios deben desconectarse de la red y de las
aplicaciones a las cuales tiene acceso al finalizar su jornada de trabajo, así como
también activar el protector de pantalla con clave cuando se ausente de su puesto
de trabajo.

Los accesos a los sistemas deben ser establecidos de acuerdo a las necesidades
propias de cada cargo.

Todos los usuarios deben ser identificados independientemente con permisos de

acceso específicamente e individualmente autorizados por razones básicas de
negocio. Los métodos de acceso de usuarios deben exigir un proceso robusto de
autenticación, autorización apropiada y auditoria confiable.
 UNIDAD 5
Seguridad física

Objetivo

Conocer estrategias de cuidado y protección de los equipos, software y

documentación general de la Compañía para tener mayor seguridad
seguridad de la
información.

Seguridad física

Es una política de la Compañía proteger los computadores, el software, los datos y

la documentación del mal uso, hurto, acceso no autorizado y ambientes con riesgos
de seguridad. .

• Los medios magnéticos deben ser almacenados en un sitio seguro cuando

contienen información de La Compañía. Además, se deben mantener fuera
de ambientes riesgosos como: calor excesivo, luz directa del sol y lejos de
campos magnéticos.

• Ninguna persona, diferente al personal de la Gerencia de Infraestructura y

Soporte o al que ella designe, está autorizada para realizar instalaciones,
desconexiones, modificaciones, reubicaciones y reparaciones de equipos de
cómputo, líneas de comunicación o telefónicas, o cualquier elemento de la
infraestructura tecnológica.

• Los computadores portátiles no deben ser usados por fuera de la oficina sin
la autorización del responsable del equipo.

• Evita situaciones riesgosas como: fumar, comer o beber cerca del

computador. Estas acciones afectan el buen funcionamiento de los equipos
asignados para el desempeño de las actividades de trabajo.

• Todos los equipos informáticos de propiedad de la Compañía o bajo la

responsabilidad de la misma, como impresoras, módems, computadores
(excepto equipos portátiles), no deben retirarse de las instalaciones de la
Compañía a menos que esté autorizado por la Gerencia de Infraestructura y
Soporte.
• Los equipos de cómputo asignados a personal de La Compañía son de uso
exclusivo para fines del negocio. Está prohibido darle un uso diferente al
asignado para ejercer las funciones propias del cargo, por esta razón, es
responsabilidad de cada uno velar por el buen estado de los equipos
asignados.

• Los centros de cableado y servidores deben estar dispuestos en lugares con

apropiadas medidas de seguridad ambiental (humedad, ventilación, aire
acondicionado) y en ningún caso deben ser utilizados para fines diferentes
como por ejemplo depósitos de papelería, salvamentos, gaseosas, etc.

• Mientras se esté conectado a la red local de la Compañía, no se autoriza

realizar conexiones a internet utilizando dispositivos no suministrados por la
Gerencia de Infraestructura y Soporte.

• Los usuarios deben reportar a la Gerencia de Infraestructura y Soporte los

daños o pérdidas de equipos que tengan a su cuidado y sean propiedad de la
Compañía..

• Los equipos de la Compañía no deben ser alterados ni mejorados (cambios

de procesador, adición de memoria o tarjetas) sin el consentimiento,
evaluación técnica y autorización previa y expresa de la Gerencia de
Infraestructura y Soporte.
 UNIDAD 6
Software y licenciamiento

Objetivo

Conocer los tipos de licencia de software más comunes y las obligaciones que
según la Política de Seguridad Informática de Suramericana deben cumplir los
empleados
empleados de la Compañía respecto a este tema.

Software y licenciamiento

Una licencia de software es la autorización o permiso concedido por el titular del

derecho de autor, en cualquier forma contractual, al usuario de un programa
informático, para utilizar éste en una forma determinada y de conformidad con
unas condiciones convenidas.

Esta licencia puede ser un documento bien sea electrónico, en papel original o
número de serie autorizado por el autor.

• Una licencia puede ser gratuita o costosa. Precisa los derechos de uso,
modificación o redistribución concedidos a la persona autorizada y sus
límites. Además, puede señalar la duración, el tipo de licencia (concurrente,
por usuario, servidor, entre otras) y todas las demás cláusulas que el titular
del derecho de autor establece.

• Puedes tener cualquier cantidad de programas instalados, pero necesitarás

un documento o número de serie legal que te autorice el uso. En el
momento en que decides descargar, instalar, copiar o utilizar un
determinado software, implica que aceptas las condiciones que se estipulan
en la licencia que trae ese programa.

• Copyright: Copyright: es una forma de protección proporcionada por las

leyes vigentes en la mayoría de los países para los autores de obras
originales incluyendo obras literarias, dramáticas, musicales, artísticas e
intelectuales, tanto publicadas como pendientes de publicar.

• Copyleft: (contrario a copyright) comprende a un grupo de derechos de autor

caracterizados por eliminar las restricciones de distribución o modificación
 impuestas por el copyright, con la condición de que el trabajo derivado se
mantenga con el mismo régimen de derechos de autor que el original.

La Compañía, conforme a las leyes, dará cumplimiento a las normas sobre

propiedad intelectual y derechos de autor. Por esta razón, quien las viole se hará
acreedor a las respectivas sanciones penales o administrativas.

Así mismo, es claro que las autoridades colombianas podrán verificar el estado de
cumplimiento de las normas sobre este tipo de derechos por parte de las empresas
para impedir que, a través de su violación se evadan tributos.

Instalar software que no esté licenciado para la Compañía. En caso de tratarse de

software en demostración, es necesario contar con un documento de autorización
del fabricante o distribuidor autorizado y la aprobación de la Gerencia de
Infraestructura y Soporte.

Instalar o copiar software sin autorización de la Gerencia de Infraestructura y

Soporte. El software que es licenciado para la Compañía o propiedad de la misma
solo podrá ser instalado en los computadores de sus negocios y por personal de la
Gerencia de Infraestructura y Soporte o autorizado por la misma.

Bajar software de Internet sin la autorización de la Gerencia de Infraestructura y

Soporte.

En aquellos casos en que por costos sea preferible la utilización de software libre o
gratuito, se autorizará hacer siempre y cuando el proceso de homologación
perteneciente a la Gerencia de Infraestructura y Soporte lo apruebe.

Tipos de licencias de software más comunes

Existen diferentes tipos de licencias, es importante que las conozcas para que
tengas en cuenta según las necesidades de tu trabajo. Para ver la información

Tipo de software Descripción

El software viene desde el autor con
Licencia GPL autorización para redistribuir y modificar, así
sin como para añadirle restricciones adicionales.
Si un programa es libre pero no protegido con
Copyleft
copyleft, entonces algunas copias o versiones
modificadas pueden no ser libres
completamente. Una compañía de software
 puede compilar el programa, con o sin
modificaciones, y distribuir el archivo
ejecutable como un producto privativo de
software.
Licencia GPL Con este tipo de licencia el usuario tiene
Tipo de software con derecho a usar el programa, modificarlo y
Copyleft distribuir las versiones modificadas, pero no
tiene permiso de realizar restricciones propias
con respecto a la utilización del programa
modificado. La licencia GPL (General Public
License) con copyleft (contrario a copyright)
fue creada para mantener la libertad del
software y evitar que alguien quisiera
apropiarse de la autoría intelectual de un
determinado programa. La licencia advierte
que el software debe ser gratuito y que el
paquete final, también debe ser gratuito.
Tipo de software Licencia de Este tipo de licencias permite el uso gratuito
software del software, pero no permite su modificación
Semilibre o venta.

Tipo de software Licencia de Esta licencia se asocia a software que está

software NO siendo desarrollado por una entidad que tiene
libre o la intención de lucro y que se protege contra
comercial uso no autorizado y cualquier tipo de copia o
redistribución si no se paga al autor (está
protegido por las leyes de derecho de autor.

Software Descripción

Software Freeware Software que el usuario final puede bajar gratis de Internet.
En estos casos, el autor siempre es dueño de los derechos, o
sea que el usuario no puede realizar algo que no esté
expresamente
autorizado por el autor del programa, como modificarlo o
venderlo.
Software Shareware
Software que se distribuye gratis durante un tiempo
determinado, pero el autor busca que el usuario pague por
ese software después de conocer sus beneficios. Por lo
general, sus costos no son muy altos. Hay también software
shareware que dejan de funcionar después de un periodo de
 prueba, son llamados Tryout.
Software Adware Como ya sabemos, existen varios tipos de programas
gratuitos: shareware, programas de prueba (normalmente de
30 días),
freeware, (programas gratuitos sin límite de uso); y los de la
clase clase "Adware" (programas financiados con
publicidad). Es decir, el software es gratuito en su uso a
cambio de tener publicidad visible en todo momento
mientras utilizamos el programa. Se supone que éste es el
único precio que se debe pagar, pero, en ocasiones, estos
programas aprovechan que tienen que estar conectados a la
red para descargar publicidad y pueden enviar algunos datos
personales, haciendo que muchos hackers se aprovechan de
este tipo de software para distribuir virus o robar información
personal.

¿Qué dice la Política de Seguridad Informática respecto al software y

licenciamiento?

La Compañía, conforme a las leyes, dará cumplimiento a las normas sobre

propiedad intelectual y derechos de autor. Por esta razón, quien las viole se hará
acreedor a las respectivas sanciones penales o administrativas.

Así mismo, es claro que las autoridades colombianas podrán verificar el estado de
cumplimiento de las normas sobre este tipo de derechos por parte de las empresas
para impedir que, a través de su violación se evadan tributos.

• Instalar software que no esté licenciado para la Compañía. En caso de

tratarse de software en demostración, es necesario contar con un
documento de autorización del fabricante o distribuidor autorizado y la
aprobación de la Gerencia de Infraestructura y Soporte.

• Instalar o copiar software sin autorización de la Gerencia de Infraestructura

y Soporte. El software que es licenciado para la Compañía o propiedad de la
misma solo podrá ser instalado en los computadores de sus negocios y por
personal de la Gerencia de Infraestructura y Soporte o autorizado por la
misma.

• Bajar software de Internet sin la autorización de la Gerencia de

Infraestructura y Soporte.
• En aquellos casos en que por costos sea preferible la utilización de software
libre o gratuito, se autorizará hacer siempre y cuando el proceso de
homologación perteneciente a la Gerencia de Infraestructura y Soporte lo
apruebe.
 UNIDAD 7
Seguridad en la computación móvil

Objetivo

Entender el funcionamiento de la computación móvil y sus respectivas

implicaciones de seguridad.

Seguridad en la computación móvil

Las posibilidades de conectarse a Internet cada vez son y esto hace que cada vez
más empresas y trabajadores tengan la posibilidad de desarrollar actividades
profesionales de forma remota.

Abrir la red corporativa a trabajadores remotos, que acceden (o no) a través de

Internet es realmente una decisión muy importante y que debe ser analizada
minuciosamente antes de realizarse.

Si se opta por abrir el acceso a la red corporativa a los usuarios remotos, es

preciso adoptar diversas medidas, tanto para proteger la red corporativa como para
proteger el computador del usuario de computación móvil.

Si un usuario de computación móvil tiene acceso a

la red corporativa y su computador es controlado por
un atacante, automáticamente el atacante puede
tener acceso a la red corporativa.

1. Un estudio realizado por la empresa SonicWALL en Estados Unidos,

evidencian que:El 83% de las empresas ya disponen de cómo mínimo un
trabajador que realiza parte de su trabajo desde su casa.
Un 43% de los usuarios de computación móvil acceden a la red corporativa
desde su casa.

2. Lo preocupante del informe de SonicWALL es la poca importancia que se da

a las medidas de seguridad. En el estudio se encontró que las tres cuartas

3. partes de las empresas analizadas realizan una revisión de quién está

autorizado a acceder de forma remota y únicamente una tercera parte de las
empresas analiza quien puede tener acceso al computador en la casa,
además del usuario de computación móvil.
4. Algunas medidas de seguridad adoptadas en los equipos de estos usuarios
son mayores:

• Utilización de antivirus
• Firewall personales
• Otras medidas de protección son menos habituales: utilizan software
para el filtrado del contenido y menos de una tercera parte utiliza redes
privadas virtuales.

Líneas de protección y normas a tener en cuenta en la computación móvil

Cualquier trabajador que acceda de forma remota a los recursos corporativos a

través de Internet debería disponer como mínimo, de estas líneas de protección:
• Antivirus actualizado
• Firewall personal
• Sistema operativo actualizado
• Sistema para detección de software malicioso.
• También, debes tener en cuenta los aspectos de seguridad en
computación móvil propuestos por la Compañía en su Política de
Seguridad Informática.

En el hogar

• Debe garantizarse un sitio de trabajo limpio y seguro.

• Los equipos entregados por parte de La Compañía al empleado para

actividades de computación móvil no deberán ser utilizados para nada
diferente a trabajos relacionados con el negocio. Esta restricción aplica
para los amigos o familiares del empleado que se encuentren a su
alrededor..

• El acceso general a Internet, para usos de recreación por parte de

miembros de la familia o amigos del empleado, utilizando equipos para
computación móvil a través de la red corporativa de La Compañía no está
permitida. El empleado es responsable de asegurar que los miembros de
la familia o amigos no violen ninguna de las políticas de seguridad, ni
 realicen actividades ilegales o usen el acceso para intereses de negocio
ajenos a la Compañía

• Cuando los equipos deban permanecer en estado desatendido, deberán

tener activado el protector de pantalla o quedar en modo “estación
bloqueada”. Cualquier opción que se utilice debe tener activa la
protección por contraseña. Adicionalmente las llaves de seguridad deben
ser retiradas del equipo.

En una oficina, áreas de trabajo, sitios públicos o vehículos.

Equipos que transporten información crítica, sensible o importante para la

Compañía no deben dejarse desatendidos. En lo posible, deben ser asegurados
físicamente (llaves de seguridad o guayas) o utilizar lugares seguros de
almacenamiento (casilleros). Esto evitará el robo de los equipos o de la
información que ellos tengan almacenada.

Cuando sea necesario dejar el equipo en estado desatendido deben tenerse las
siguientes precauciones:

Asegúrate, si es posible, que el sitio de trabajo permanezca bajo llave.

Cuando se trate de lugares públicos, concurridos o sin control físico
de acceso, los equipos deberán permanecer con llave o asegurados
físicamente mediante guayas para evitar su robo o pérdida.

Si el equipo debe permanecer encendido, este deberá tener activado
el protector de pantalla o quedar en modo “estación bloqueada”.
Cualquier opción que se utilice debe tener activa la protección por
contraseña.

No se deberán dejar discos compactos (CD o DVD) en sus respectivas
unidades móviles de almacenamiento, de igual manera evitar dejar
conectados memorias USB o dispositivos de almacenamiento
externos.

Retirar las llaves de seguridad del equipo.

Debe evitarse dejar los equipos portátiles en vehículos (automóviles,
buses, etc) de tal manera que sean visibles desde el exterior.

Planes de contingencia a tener en cuenta al presentarse problemas en el sitio

de computación móvil
 • En caso de presentarse una evacuación en el lugar de trabajo y es
necesario dejar el equipo en estado desatendido, procure activar el
protector de pantalla o dejar bloqueada la estación.

• Mantener siempre copias de seguridad actualizadas de la información

crítica del equipo utilizado para computación móvil. Estas copias deberán
permanecer almacenadas en un sitio seguro.

• En caso de robo de equipos, deberá notificarse de inmediato a la

Gerencia de Infraestructura y Soporte para proceder a desactivar los
usuarios y privilegios de ingreso a la red corporativa de La Compañía.

Normas generales para utilizar la computación móvil

El sitio que selecciones para realizar actividades de computación móvil, debe

tener las siguientes características:

• Evitar condiciones de humedad, frío o calor extremas que afecten los

equipos.

• Debe estar alejado de sitios en los que exista gran concentración de

partículas de polvo (arena, residuos de madera o rocas, etc) o propensos
a ser salpicados con cualquier tipo de líquido.

• No debe entrar en contacto directo con los rayos del sol.

• Por tu salud corporal, usa los equipos portátiles solo en mesas y

espacios apropiados.

• Asegúrate de colocar los equipos en mesas firmes y estables.

• Cuando vayas a transportar algún equipo, verifica que esté apagado.

• La instalación de dispositivos adicionales o periféricos a los equipos

suministrados por La Compañía para actividades de computación móvil
deben ser autorizados por la Gerencia de Infraestructura y Soporte. Este
tipo de dispositivos incluyen: Cámaras web, scanner, Joystick, unidades
de CD o DVD.
• La Es importante que conozcas las condiciones meteorológicas del lugar
en donde se están realizando actividades de computación móvil. En caso
de presentarse una tormenta eléctrica, el equipo debe ser apagado y
desconectar todos los tomas eléctricos y el cable telefónico del modem.
Esto aplica siempre y cuando en el lugar de trabajo no se cuente con
redes eléctricas reguladas.

• La conexión por modem solo deberá ser utilizada cuando se esté

realizando trabajo remoto, este no deberá estar conectado a una línea
telefónica cuando el equipo se encuentre conectado directamente a la
LAN.
 UNIDAD 8
Mensajería instantánea

Objetivo

Estudiar generalidades y recomendaciones aplicables a los programas de

mensajería instantánea y conocer los lineamientos de seguridad informática que
Suramericana Tiene para el uso de estas herramientas en la red corporativa.

Generalidades acerca de mensajería instantánea

Mensajería instantánea es la posibilidad de que 2 o más personas puedan

comunicarse en tiempo real con sol conectarse a Internet.

Los servicios más utilizados son: Yahoo, Windows Live Messenger, AIM (AOL
Instant Messenger) y Google Talk.

Cada uno de estos mensajeros permite enviar y recibir mensajes de otros usuarios
usando los mismos software y clientes. Sin embargo, existen algunos clientes de
mensajerías que ofrecen la posibilidad de conectarse a varias redes al mismo
tiempo (aunque necesitan registrar usuario distinto en cada una de ellas) o con una
misma cuenta acceder a todos los servicios de MSN.

Contactos

• Mostrar varios estados: En línea, No disponible, Vuelvo enseguida, Ausente,

Al teléfono, Salí a comer, Sin conexión
• Con el estado invisible se puede ver a los demás pero los demás a uno no.
• Registrar y borrar usuarios de la lista de contactos propia.

Chateo. Se pueden presentar varios tipos de mensajes:

Aviso: se muestran mensaje de forma automática. No es una invitación a mantener

la conversación, solo se quiere enviar una información.
Invitación a chatear: Se invita a mantener una conversación tiempo real.
Mensaje emergente: Es un aviso que se despliega unos segundos y se vuelve a
cerrar. No requiere atención si no se desea. Sirve como aviso breve que moleste lo
mínimo posible. Por ejemplo, "ya lo encontré, gracias"
-Se puede utilizar emoticones (iconos que expresan un tipo de emoción en
particular).
-Envío de archivos.

Sugerencias para una mensajería instantánea más segura

1. Tenga cuidado al crear un nombre de pantalla. Cualquier programa de

mensajería instantánea le pedirá que cree un nombre de pantalla, que equivale a
una dirección de correo electrónico. El nombre de pantalla debe proporcionar
información diferente a datos personales. Por ejemplo, es preferible utilizar un
sobrenombre como ForofoDelFútbol, en vez de ClubAtléticoVillanuevaJuvenil.

2. Cree una barrera contra la mensajería instantánea no deseada. Evite que su

nombre de pantalla o su dirección de correo electrónico aparezcan en áreas
públicas (tales como grandes directorios de Internet o perfiles de la comunidad en
línea). Tampoco suministre datos a personas desconocidas.

3. Algunos servicios de mensajería instantánea vinculan el nombre de pantalla a la

dirección de correo electrónico en el momento en el que el usuario se registra.
Cuanto mayor sea el número de personas que puedan conocer su dirección de
correo electrónico, más serán las posibilidades de recibir ataques de correo
electrónico no deseado y de suplantación de identidad (phishing).

4. La información personal como contraseñas o números de tarjetas de crédito son

confidenciales, solo tú debes conocerlas.

5. Comuníquese únicamente con las personas que figuran la lista de contactos o

conocidos.

6. Si decides conocer personalmente a alguien con quien sólo te habías

comunicado a través de la mensajería instantánea, toma las precauciones
necesarias. Por ejemplo: si vas a reunirte con otra persona a solas (es preferible
que te acompañe un amigo o un familiar) y asegúrate de que el encuentro sea
siempre en un lugar público, como un café.

7. Si te llegan imágenes o archivos desconocidos, no hagas clic en estos enlaces. Si

proceden de alguien a quien conoce, confirme con el remitente que el mensaje (y
los archivos adjuntos) son confiables. De lo contrario, cierre el mensaje instantáneo.
8. Si utilizas un equipo público, selecciona una opción diferente a la de inicio de
sesión automático, ya que quienes usen ese mismo equipo podrían ver tu nombre
de pantalla y utilizarlo para conectarse.

9. Supervise el uso que hacen tus hijos de la mensajería instantánea y limítelo

cuando sea necesario.

10. En caso de no estar disponible para recibir mensajes, cuida la forma en que das
a conocer esa situación. Es posible que no todos los usuarios que figuran en la lista
de contactos sepan que no estás disponible porque saliste a comer.

Clientes de mensajería instantánea permitidos en Suramericana

Actualmente en Suramericana permite el uso de los siguientes clientes de

mensajería:

• Windows Messenger
• GroupWise Messenger
• Spark Messenger

Qué dice la Política de Seguridad Informática respecto al uso de mensajería

instantánea

La Compañía solicita a cada colaborador el cumplimiento de una serie de

recomendaciones que hacen referencia a la mensajería instantánea. Configuración
de la herramienta .

En la Compañía no está permitido:

• El uso de herramientas colaborativas (pizarra, asistencia remota,

compartir carpetas, transferencia de archivos).
• Servicio de voz y video.
• La instalación de versiones de software de mensajería instantánea
diferentes a las autorizadas por la Gerencia de Infraestructura y Soporte.
• Habilitar el servicio de banners publicitarios.
• Habilitar la actualización automática del cliente de mensajería
instantánea, este solo debe ser programado por la Gerencia de
Infraestructura y Soporte.
 • Modificar la configuración por defecto en el cliente de mensajería
instantánea.

En cuanto al uso

• El servicio de mensajería instantánea debe ser utilizada como

herramienta de trabajo, única y exclusivamente para fines laborales.

• No debe ser utilizada para el intercambio de información confidencial de

La Compañía o de sus clientes.

• Se debe rechazar todo intercambio de mensajes con contactos

desconocidos.

• No se deben ejecutar comandos ni llevar a cabo tareas o procesos en el

computador cuando estos sean enviados o sugeridos por contactos
desconocidos.

• Visitar páginas en Internet a partir de direcciones enviadas por contactos

desconocidos.
 UNIDAD 9
Criptografía de datos

Objetivo
Identificar los conceptos básicos que deben tenerse en cuenta en materia de
seguridad informática.
informática.

Etimología de la palabra e historia de la criptografía

La palabra criptografía proviene del griego kryptos (esconder) y graphein (escribir),

es decir “escritura escondida” .

La criptografía es una rama de las Matemáticas que hace uso de métodos y

técnicas que permiten cifrar y proteger un mensaje o archivo por medio de un
algoritmo (secuencia de instrucciones o comandos para que un computador las
ejecute de forma automática y realice una tarea específica). Esto se logra usando
una o más claves, sin ellas será realmente difícil obtener el archivo original.

Historia

Si bien no se la conocía como ciencia, la criptografía existe desde muchísimos años

atrás. Uno de los primeros métodos de cifrado tuvo su origen durante el Imperio
Romano, ellos utilizaron un esquema criptográfico simple pero efectivo para
facilitar la comunicación entre los líderes de las tropas. Este método ideado por los
romanos, introduce el concepto de: de "clave criptográfica".

Otro ejemplo en la historia es la máquina utilizada por los Nazis para cifrarla
información que transmitían en la II Guerra Mundial, llamada enigma, la cual fue
capturada y descifrada por los aliados y dio un valioso aporte para el triunfo final de
estos en dicha guerra.

Para el empleo de esta máquina las claves se distribuían a diario en forma de libros
de códigos. Cada día, un operador de radio, receptor o transmisor, consultaba su
copia del libro de códigos para encontrar la clave del día. Todo el tráfico enviado
por ondas de radio durante aquel día era cifrado y descifrado usando las claves del
día.
¿Por qué cifrar la información?

La historia del hombre también ha creado problemas relativos a la seguridad de los

datos y la información tales como:

• Acceso a personas no autorizadas.

• Manipulación o malinterpretación.
• Incertidumbre acerca de su procedencia.
• Ausencia de un responsable de la misma
• Confidencialidad
• Disponibilidad
• Integridad
• No repudio

Criptografía básica

Ya sabemos que si deseamos enviar información confidencial debemos aplicar

técnicas criptográficas. Estas nos ayudan a esconder el mensaje (cifrar ) cuando
viaja por un medio no seguro y autorizar solo al receptor autorizado a leer el
mensaje escondido (descifrar).

Privacidad: evitando
e que un tercero pueda ver la información.

Integridad: notificando cuando un tercero modifica un mensaje o documento

firmado digitalmente.

Autenticidad: asegurando que quien firma es quien dice ser.

No rechazo: impidiendo la negación de autoría de un mensaje firmado digitalmente.

Tipos de criptografía

Existen dos tipos de criptografía: simétrica y asimétrica.

Simétrica: es aquel método de cifrado donde se utiliza una misma clave para cifrar
y descifrar la información. No es el método más seguro debido a que la clave de
cifrado debe ser compartida con el destinatario para que este pueda descifrar los
datos. Para aumentar su seguridad debe transmitir o compartir la clave por un
medio seguro, de tal manera que un tercero no la capture y pueda tener acceso a
información confidencial.
Asimétrica: en este método se utiliza una clave se utiliza para cifrar el mensaje
(clave pública) y se descifra con otra clave (clave privada). Ambas claves pertenecen
a un único dueño y este debe compartir su clave pública con todo aquel del cual
quiera recibir información cifrada.
Usos de la criptografía

Firma digital:

Es una solución que ofrece la criptografía para verificar:

• La integridad de documentos.
• La procedencia de documentos.
• Verificar la autenticidad tanto de personas como de mensajes
• De algún modo reemplaza a la firma autógrafa que se usa comúnmente
para documentos escritos.

¿Cómo sabemos si un sitio web tiene certificado digital y este se encuentra vigente?

Al visitar un sitio web donde puedas hacer transacciones electrónicas o donde esté
almacenada información de carácter confidencial, es de gran importancia validar
que el lugar es seguro y que te puede ayudar a reducir la probabilidad de pérdida
de información o de interferencia por parte de un tercero.

• Cuando el sitio cargue, asegúrate de que la URL (dirección) comience por

con https.

• En la parte inferior de la pantalla o en la casilla donde se digitó la

dirección debe aparecer un icono en forma de candado.

• Al hacer clic a ese icono (luego en la opción: Ver certificados) deberá

aparecer la información básica del certificado, donde debemos validar
que este sea emitido para la misma dirección que estamos cargando y
que todavía esté vigente (la fecha actual no debe superar la fecha de
vencimiento del certificado).