@ejecutivos_es Página en Facebook {ejecutivos_es} RSS
Hemeroteca :: 23/03/2011
1/55
Análisis y Opinión

Por Tom Kelchner, analista de comunicaciones e investigación de GFI Software

Última actualización 08/02/2011@01:55:47 GMT+2

El año nuevo siempre suele suponer una fuente inagotable de buenos propósitos, incluso en el área TI. Eso sí, los administradores informáticos que quieran que 2011 sea un año sin sobresaltos en lo que a la seguridad en las empresas se refiere, deberían tener en cuenta los siguientes consejos.

1. Limitar el acceso a las redes informáticas sólo a aquellos usuarios que realmente lo necesiten.

En las PYMEs es una práctica muy común que la mayoría de los trabajadores tengan plenos privilegios y acceso a la red informática y a dispositivos que no necesitan, para desempeñar su trabajo. Tomarse esas libertades en materia de seguridad informática, es abrir la puerta a los problemas.

Aunque lo más probable es que la organización haya contratado a personal honesto y de confianza, los administradores informáticos y responsables en la seguridad de las redes deben tener en cuenta que la concesión de plenos privilegios a la plantilla sigue siendo un riesgo que es mejor no correr... por si acaso.

2. Es necesaria una estrategia para prevenir la fuga de datos.

Las amenazas internas pueden ser a menudo las más dañinas y también son de las que menos se protege la compañía, simplemente porque en las PYMEs los empleados y los directivos tienden a mostrar una confianza plena y mutua.

Sería recomendable monitorizar la actividad de las redes informáticas, así como el uso de dispositivos móviles en dichas redes. De hecho, las memorias USB deberían prohibirse, ya que suponen un medio demasiado fácil para que un empleado descontento sustraiga información confidencial de la empresa, sin que nadie se dé cuenta.

El personal "móvil" también supone un problema, por lo que los administradores y la empresa en general harían bien en definir una estrategia para el uso de los ordenadores portátiles y de los smart phones. En estas cuestiones, hoy más que nunca, los responsables TI de la compañía necesitan mirar un poco más allá de la seguridad perimetral. Y es que, la protección ante la fuga de datos es una cuestión que se merece más que una consideración meramente testimonial.

3. Limitar la navegación por Internet y formar a los usuarios para que reconozcan las amenazas y no "caigan" en la trampa.

Los usuarios finales no suelen darse cuenta de las amenazas que acechan en Internet. Por ello, es mejor cortar de raíz problemas potenciales como las descargas o la ingeniería social, que podrían ser la vía para la entrada en la empresa de los códigos maliciosos. En ausencia de una razón empresarial para visitar determinadas páginas Web, es una buena idea limitar las capacidades de navegación online con listas blancas o negras.

Las páginas P2P también pueden ser vehículos para los códigos maliciosos u ofrecer a sus miembros acceso a los datos de la compañía, si el cliente no está configurado adecuadamente.

Las páginas de redes sociales como Facebook pueden ser, asimismo, un conducto para los enlaces maliciosos. Estos se pueden enviar desde un "amigo" cuya cuenta ha sido hackeada, para que nadie pueda darse cuenta de que el enlace conduce a una página Web dañina. De esta manera, el malware descargado en el ordenador del usuario se podría propagar fácilmente a través de la red corporativa.

Ante estas amenazas, los profesionales de la seguridad suelen recurrir primero a las soluciones tecnológicas. Sin embargo, formar a los usuarios para que reconozcan los peligros del spam, el phising, las estafas, los falsos productos de seguridad o las amenazas de ingeniería social, podría evitarle a la empresa muchísimos problemas.

4. Las auditorias regulares de las redes informáticas son indispensables.

Monitorizar los eventos y llevar a cabo auditorías periódicas proporciona una importante información sobre la red informática de la empresa. Este a veces puede resultar un trabajo tedioso y que requiera tiempo, pero es un paso que no debe ser ignorado, ya que nos proporcionará una información crucial acerca del estado y de cómo proteger la red. Además, las auditorías periódicas permiten a los responsables de TI y seguridad conocer en detalle qué materiales están disponibles en la red informática de la empresa. A su vez, el análisis de registros permite entender de qué manera se están utilizando los recursos y cómo se puede mejorar su gestión.

Las normativas de Conformidad afectan, en la actualidad, a un importante número de organizaciones y, por ello, realizar oportunamente las auditorías de las redes informáticas resulta algo imprescindible, ya que además suponen un importante activo si algo va mal.

La gestión de parches y vulnerabilidades son, asimismo, componentes esenciales de cualquier estrategia para la seguridad de la red TI. Los equipos que no dispongan de parches de seguridad o de las últimas actualizaciones de software, son un blanco fácil para los creadores de malware y los hackers, por lo que resulta importante que los administradores cuenten con la tecnología necesaria para identificar, evaluar y parchear cualquier brecha que se encuentre en la red. En un ejercicio eDiscovery, probar que se ha hecho todo lo posible para apuntalar cualquier amenaza, supondrá una gran diferencia para la organización, en caso de que la misma haya sufrido una brecha de seguridad.

5. Garantizar que los sistemas son seguros antes de conectarlos a Internet.

Aunque cualquier ordenador se puede desembalar y conectar directamente a Internet, hacer esto es un disparate que atenta claramente contra la seguridad informática.

Antes de conectar un equipo a un cable Ethernet o a una línea telefónica, debe instalarse un software anti-malware. Una vez que se ha garantizado la seguridad y que el equipo está conectado a Internet, resulta esencial que las aplicaciones de seguridad se mantengan actualizadas para asegurar la protección contra malware y virus.

Los sistemas operativos, los navegadores y otras aplicaciones son propensos a tener brechas de seguridad. Una vez que se ha anunciado una imperfección, habitualmente es explotada en muy poco tiempo. Por ello, los encargados de los establecimientos informáticos deberían monitorizar las páginas Web de los fabricantes o los posts de las redes sociales para localizar noticias sobre el lanzamiento de actualizaciones. Los productos de Adobe deberían tener una alta prioridad, ya que se han convertido en uno de los blancos principales del malware. Además, prácticamente todos los usuarios los utilizan en diferentes plataformas.

6. Es necesario reforzar las políticas de seguridad.

También es importante tener en cuenta que la seguridad y las políticas de usuarios no sirven de nada, si los responsables no las refuerzan. Al mismo tiempo, es necesario encontrar un equilibrio entre dicho refuerzo y permitir a los empleados seguir adelante con su trabajo. Si las políticas son demasiado restrictivas, los empleados encontrarán la manera de sortearlas. Además, se debería ofrecer al personal una explicación de por qué se han implantado dichas políticas. Si los empleados entienden por qué no pueden hacer algo, estarán más predispuestos a obedecer la política en cuestión. Lo que es seguro es que un enfoque dictatorial sólo generará trabajadores resentidos.

7. Autentificar siempre a los interlocutores.

Autentificar a los interlocutores puede parecerles a los administradores de red un proceso redundante, ya que la voz de la persona que llama es en la mayoría de los casos fácilmente reconocible. Sin embargo, proporcionar cambios de contraseñas y otros datos confidenciales por teléfono, sin seguir un adecuado proceso de autentificación, puede generar problemas de seguridad cuyo origen suele ser difícil de reastrear y, por ello, son mucho más difíciles de detectar y tratar. Amenazas como el phising o los ataques de ingeniería social dirigidos se producen cada vez más a menudo, por lo que debería formarse a los usuarios para diferenciar entre una solicitud de información genuina y un intento de phising, ya sea vía e-mail o telefónica.

8. Las copias de seguridad son imprescindibles... y probarlas también.

No mantener copias de seguridad de los sistemas es algo inaudito a día de hoy, pero probar los back-ups y confirmar que el plan de recuperación ante desastres realmente funciona, es algo muy distinto.

En primer lugar, las copias de seguridad adecuadas deben crearse de forma regular y almacenarse en un lugar seguro, fuera de alcance. Una vez realizado este paso, el siguiente consiste en garantizar que los back-ups funcionan en caso de emergencia.

A menudo, existen requerimientos que obligan a la encriptación de los back-ups. Sin embargo, sería una buena idea comprobar doblemente que la encriptación efectivamente está conectada y que los datos pueden recuperarse.

9. Se hace frente a un desastre, si el plan de recuperación ante desastres no funciona.

El plan de recuperación ante desastres puede ser una obra de arte, en teoría. Puede quedar estupendamente sobre el papel y archivado en la carpeta de recuperación ante desastres. Pero ¿cómo funciona en la práctica? ¿Se ha simulado realmente una situación en la que haya que utilizar las copias de seguridad para que los sistemas vuelvan a funcionar, para que cada uno pueda seguir con su trabajo y para que se minimice la pérdida de ingresos?

Planear una simulación así para asegurar que la organización puede volver a operar gracias a los back-ups en un caso de emergencia, es un requisito esencial para la seguridad de la información. Es importante tener en cuenta que un plan de recuperación ante desastres que falla, en la práctica, es simplemente otro desastre.

10. Pedir ayuda, si se necesita.

No hay por qué avergonzarse de pedir ayuda para las tareas más complejas en el aseguramiento de la seguridad informática de la empresa. Por ejemplo, instalar la red informática de la compañía sin ayuda podría resultar una tarea muy difícil de acometer. Por ello, es importante buscar colaboración externa, si el equipo propio de la compañía todavía no tiene la experiencia o las habilidades necesarias. Aunque emplear ayuda externa pueda parecer costoso en muchas ocasiones, dicha ayuda ofrece en la mayoría de los casos una garantía importante de que el trabajo de protección está bien hecho.

Fuente: Medianell

¿Te ha parecido interesante esta noticia?   Si (0)   No(0)
1/55
Comparte esta noticia  

Comenta esta noticia
Normas de uso
  • Esta es la opinión de los internautas, no de ejecutivos.es | Información de directivos y ejecutivos de empresa
  • No está permitido verter comentarios contrarios a la ley o injuriantes.
  • Su dirección de e-mail no será publicada ni usada con fines publicitarios.
  • Nos reservamos el derecho a eliminar los comentarios que consideremos fuera de tema.

Salir de la Hemeroteca.
Volver a la edición publicada

"Un lider es Capaz de hacer..."
Nombramientos
Toda la información sobre los premios que concede la revista Ejecutivos
Accede al directorio de empresas españolas más completo
Versión Impresa
Consultar o descargar el número en PDF Consultar o descargar el número en PDF

Ver todos los números disponibles
Suscríbase GRATIS al boletín de noticias


Condiciones de uso
SERVICIOS
•Callejero
•Restaurantes
•Páginas Amarillas
•Hoteles
•PDA
•Hemeroteca
•RSS/XML
VIVIPRESS S.L. :: 2010 Contacto
Diseño web: www.ejecutivos.es | Páginas creadas con

Directorio de Ejecutivos
Acambiode.comIntercambia con Vivipress, S.L.		 The European Federation of Magazine Publishers Centro español de derechos tipográficos Asociación Española de Publicaciones Periódicas Federación Internacional de Publicaciones Periódicas