Normas Básicas de Seguridad en Internet
Desde que todo esta en formato digital, y llevados por las grandes ventajas de la utilización de Internet - incremento de productividad, reduccion de costes, convergencia.. -, cada vez aparecen más delitos que se realizan desde cualquier lugar del mundo - Rusia, India, ...-, y sobre empresas que podrían pensar que "¿ Para que me van a atacar a mi ?".
Bueno, a todos les llega el día que alguien les da un susto, y ya no solo por el robo de su información sino por la responsabilidad que supone, y el descredito. La seguridad es importante en todos los aspectos, debiendo fijar medidas fisicas y lógicas para protegerse.
Por ejemplo en un colegio se deben fijar medidas de seguridad fisica - video - ya que el secuestro express de un niño hace un seguro el centro, y por lo tanto no creo que muchos padres esten por la labor de llevar a sus hijos a un centro inseguro ( dejando de lado el tipo de formación). ¿ Que coste tiene un sistema de vigilancia frente a la quiebra que le puede suponer a un colegio ? RIDICULO.
De la misma forma, se pueden poner ejemplos para cadenas hoteleras, operadores de telecomunicaciones, empresas con plataforma de correo electrónico...todos aquellos que tengan datos de los clientes y sus cuentas corrientes. El último caso ha sido el de Best Western Hotel, en el que 8 millones de datos de sus clientes, con direcciones, nombres, cuentas corrientes,...han podido caer en manos de la mafia rusa. Esta información está subastada en Internet por un valor de 3.500 millones de euros. RIDICULO EL COSTE DE SEGURIDAD.
Asi que por lo menos hay una serie de medidas básicas, sobre las cuales se puede ir pronfundizando, pero como minimo ponerselo dificil a los hackers.
1. Realizar un análisis de gestión de riesgos (AGR). Habitualmente denominado AGR. Se contempla cuales son los elementos criticos, amenazas y salvaguardas.
2. Disponer de un dispositivo de seguridad - actualmente es mejor disponer de un appliance que disponga de prevención de intrusiones, y firewall. Este dispositivo no es suficiente con instalarlo, hay que estar permanentemente revisando las politicas de seguridad para protegerse.
3. Transmitir la información a través de tuneles o de forma encriptada ( IPSec, SSL...)
4. Cambiar los usuarios y contraseñas por defecto en los equipos de comunicaciones.
5. Configurar los buzones de correo electronico para que no pueda existir fuga de información
6. Disponer de antivirus actualizados y controlados, tanto en los servidores, como en los ordenadores personales. A ser posible mejor que uno dos, uno de seguridad perimetral y el otro en el propio equipo.
7. Controlar los dispositivos que se pueden conectar en la red informatica (equipos wifi) y en los equipos (pen drives), para evitar robos de información internos. ( 802.1x )
8. Formar al personal de la empresa, haciendo especial hincapie en los aspectos de "ingenieria social", y evitando los correos de phising. Sobre todo verificar que la información sensible que se transmite por Internet se hace a través de medios seguros SSL.
9. Actualizar permanentemente los parches de seguridad de los sistemas operativos, previa verificación de que no dan problemas.
10. Asignar un unico usuario y contraseña para el acceso a la información para cada persona, limitando los accesos a la información a la que cada uno deba acceder.
Como medida de seguridad avanzada, se puede incluir el seguimiento y monitorización de los accesos a la red, tanto interno como externo, mediante un log de accesos, que muchos de los appliances incluyen, y que se pueden volcar sobre un servidor de logs para su posterior análisis.
Claro está que todo esto no se trata de comprarlo y montarlo, sino que corresponde a un plan bien estructurado de seguridad, contando periodicamente con una revision de las medidas de seguridad, para verificar el cumplimiento del plan director.
Bueno, a todos les llega el día que alguien les da un susto, y ya no solo por el robo de su información sino por la responsabilidad que supone, y el descredito. La seguridad es importante en todos los aspectos, debiendo fijar medidas fisicas y lógicas para protegerse.
Por ejemplo en un colegio se deben fijar medidas de seguridad fisica - video - ya que el secuestro express de un niño hace un seguro el centro, y por lo tanto no creo que muchos padres esten por la labor de llevar a sus hijos a un centro inseguro ( dejando de lado el tipo de formación). ¿ Que coste tiene un sistema de vigilancia frente a la quiebra que le puede suponer a un colegio ? RIDICULO.
De la misma forma, se pueden poner ejemplos para cadenas hoteleras, operadores de telecomunicaciones, empresas con plataforma de correo electrónico...todos aquellos que tengan datos de los clientes y sus cuentas corrientes. El último caso ha sido el de Best Western Hotel, en el que 8 millones de datos de sus clientes, con direcciones, nombres, cuentas corrientes,...han podido caer en manos de la mafia rusa. Esta información está subastada en Internet por un valor de 3.500 millones de euros. RIDICULO EL COSTE DE SEGURIDAD.
Asi que por lo menos hay una serie de medidas básicas, sobre las cuales se puede ir pronfundizando, pero como minimo ponerselo dificil a los hackers.
1. Realizar un análisis de gestión de riesgos (AGR). Habitualmente denominado AGR. Se contempla cuales son los elementos criticos, amenazas y salvaguardas.
2. Disponer de un dispositivo de seguridad - actualmente es mejor disponer de un appliance que disponga de prevención de intrusiones, y firewall. Este dispositivo no es suficiente con instalarlo, hay que estar permanentemente revisando las politicas de seguridad para protegerse.
3. Transmitir la información a través de tuneles o de forma encriptada ( IPSec, SSL...)
4. Cambiar los usuarios y contraseñas por defecto en los equipos de comunicaciones.
5. Configurar los buzones de correo electronico para que no pueda existir fuga de información
6. Disponer de antivirus actualizados y controlados, tanto en los servidores, como en los ordenadores personales. A ser posible mejor que uno dos, uno de seguridad perimetral y el otro en el propio equipo.
7. Controlar los dispositivos que se pueden conectar en la red informatica (equipos wifi) y en los equipos (pen drives), para evitar robos de información internos. ( 802.1x )
8. Formar al personal de la empresa, haciendo especial hincapie en los aspectos de "ingenieria social", y evitando los correos de phising. Sobre todo verificar que la información sensible que se transmite por Internet se hace a través de medios seguros SSL.
9. Actualizar permanentemente los parches de seguridad de los sistemas operativos, previa verificación de que no dan problemas.
10. Asignar un unico usuario y contraseña para el acceso a la información para cada persona, limitando los accesos a la información a la que cada uno deba acceder.
Como medida de seguridad avanzada, se puede incluir el seguimiento y monitorización de los accesos a la red, tanto interno como externo, mediante un log de accesos, que muchos de los appliances incluyen, y que se pueden volcar sobre un servidor de logs para su posterior análisis.
Claro está que todo esto no se trata de comprarlo y montarlo, sino que corresponde a un plan bien estructurado de seguridad, contando periodicamente con una revision de las medidas de seguridad, para verificar el cumplimiento del plan director.
Comentarios
Publicar un comentario