sistemas de informacion

Pre auditoria de sistemas de información: ¿Cómo de seguros están tus sistemas?

¿Hasta qué punto están seguros los sistemas de información en tu empresa, negocio u organización?

Según un informe elaborado por Panda Security junto a Nielsen, el 91% de las pymes españolas son víctimas cada día de ataques informáticos.

Estos son los datos de la cruda realidad. Por eso, más te vale estar seguro de que los sistemas de información de tu empresa están preparados para minimizar los riesgos asociados a estas y otras amenazas de seguridad informática.

Pero ¿cómo puedo blindar mis sistemas de información te estarás preguntando?

Para ayudarte con esto hemos preparado un test de seguridad informática para evaluar tus sistemas de información.

Únete a nuestra comunidad de empresas seguras

Haz nuestro test de seguridad informática Gratuito y descubre los puntos débiles de acceso a tu negocio

Seguridad de la información y seguridad informática

Dichos términos habitualmente se confunden, ya que la finalidad de ambos es la protección de la información, sin embargo no deben confundirse, uno se encarga de proteger la información independientemente del soporte y el otro de la seguridad en el medio informático.

Para que un sistema, se pueda definir como seguro, debe contar con estas propiedades:

  • Integridad: Impide la modificación de información a personas o sistemas no autorizados.
  • Confidencialidad: Impide la divulgación de información a personas o sistemas no autorizados.
  • Disponibilidad: Debe estar disponible cuando se necesita los datos, la información o recursos para el personal adecuado.
  • Irrefutabilidad: Permite identificar el generador de la información.

Me gustaría aclarar que en informática, un sistema 100% seguro, es una utopía.

La seguridad informática, mediante diferentes protocolos, medidas técnicas y políticas, tiene como objetivo proteger sus activos con el fin de minimizar las amenazas y riesgos continuos.

Sus activos principales son:

  • Información: Es el objeto de mayor valor para una organización.
  • Equipos que la soportan: Software, hardware y organización.
  • Usuarios: Individuos que utilizan la estructura tecnológica y de comunicaciones que manejan la información.

Normalmente, cuando pensamos en seguridad informática, lo primero que se nos viene a la cabeza son los temidos virus, para lo cual, deberíamos contar con:

  • Un antivirus perimetral capaz de proteger uno de los principales puntos de entrada como son las páginas web y el correo.
  • Un antivirus en los equipos, para protegerlos de la entrada de virus por otros medios como un disco externo.
  • Un servidor libre de amenazas donde alojar nuestros datos a salvo.

Lo que muchas veces se pasa por alto y es un gran error, es proteger la red con un firewall y con un IDS, una herramienta capaz de detectar y detener a los intrusos no autorizados.

Tampoco debemos olvidarnos nunca de la disponibilidad, si nuestro presupuesto nos lo permite, es muy aconsejable contar sistemas con harware redundante y sistemas en alta disponibilidad (HA).

Lo que nunca podemos dejar pasar, es disponer de una política de copias de seguridad, es imprescindible para poder restaurar los datos en caso de pérdida accidental, fallo de los dispositivos de almacenamiento o catástrofe.

Como dice un amigo mío:

No me importa que mañana se acabe el mundo mientras al día siguiente pueda seguir consultando la base de datos de mis clientes.

También es aconsejable realizar de vez en cuando una auditoría de seguridad de sistemas.

Auditoría de Seguridad de los Sistemas de Información

Una auditoría de seguridad de tus sistemas de información,  consiste en el análisis de las amenazas y los riesgos sobre el activo, la evaluación de sus vulnerabilidades y la validación del cumplimiento de los controles y procedimientos.

Esto nos permite conocer cuál es la situación exacta de los activos de información en cuanto a protección, control y medidas de seguridad.

Podría hablar largo y tendido sobre el tema, pero no quiero extenderme y me voy a limitar a dar unas pautas o recomendaciones de seguridad.

Estos son los principales puntos a evaluar en una auditoría de sistemas de información:

  1. Seguridad física: es imprescindible que la ubicación física del hardware cuente con un acceso restringido mediante alarma, cerradura y terminales bloqueados. A poder ser en una sala aislada con poco tránsito de personas escasa luz solar, viento, polvo, humedad y temperaturas extremas. Además cualquier puerto en desuso (USB, unidades disco duro, SCSI etc…) deben estar bloqueados
  2. Seguridad de redes: esta es muy compleja de evaluar. Pero básicamente debes centrarte en conocer el riesgo a sufrir conexiones no autorizadas a través del control de acceso físico a la red por parte de usuarios, dispositivos, sistemas y softwares, evaluando el tráfico de red aprobado ( limitando las capacidades de acceso a los usuarios, cifrando datos confidenciales, limitando los puertos de acceso a las necesidades del software contratado, probando a fondo cualquier servicio en red contratado para conocer vulnerabilidades ) y el tráfico de red no aprobado mediante la monitorización de la actividad, registros de la actividad de red, comprobando si programas no autorizados se ejecutan en el sistema y la búsqueda de intentos repetidos de conexión no autorizados a través de la red)
  3. Protocolos/ software: en relación a softwares, programas y protocolos instalados en los sistemas de tu empresa se suele asumir que la seguridad es correcta y no es necesaria ser evaluada. Sobre todo cuando se trata de software preinstalado. Sin embargo puede haber agujeros de seguridad por una configuración errónea del software, un bug o una falta de actualización. Asegurate de comprobar siempre las credenciales del desarrollador, todos los parches de seguridad, vulnerabilidades existentes y notas de la versión que existen.
  4. Seguridad del usuario: por supuesto esta depende mucho del tipo de usuario del que hablemos (administradores, usuarios normales etc…) En cualquier caso lo que debes evaluar es la política de creación de usuarios, mantenimiento y actualización de contraseñas, además de los permisos de acceso y uso para cada tipo de usuario. Es interesante mantener registros de la actividad del usuario,  fijar límites de uso para los recursos y de forma de acceso al sistema.
  5. Seguridad de datos: en principio los datos y su almacenamiento no deben presentarse como un riesgo de seguridad simplemente porque los usuarios tienen acceso a los datos o no los tienen. Además, si contamos con una política correcta de copias de seguridad (poner enlace a un artículo tuyo) siempre serás capaz de recuperar tus archivos bajo cualquier circunstancia. Esto último es lo que debes evaluar junto a los permisos de acceso para cada usuario en función de sus perfiles.
  6. Contraseñas: las contraseñas son un arma de doble filo para la seguridad. Por eso es aconsejable revisar que se cumplen los protocolos adecuadamente. Ningún usuario las debe tener apuntadas, comprueba que estas se actualizan periódicamente, su almacenamiento es encriptado, cuenta con al menos 8 caracteres y una combinación de letras y números, mayúsculas y minúsculas etc…
  7. Administración del sistema: unos buenas técnicas de administración de sistemas pueden marcar la diferencia en cuanto a la seguridad. Aunque muchos de los sistemas actuales hacen chequeos automáticos, comprueba que se realizan al menos las siguientes tareas: se informa periódicamente a los usuarios de lo que se espera de ellos en cuanto a políticas de seguridad, se ejecutan herramientas de cracking, se trata de romper la seguridad de forma manual en algunas ocasiones, se monitoriza periódicamente el sistema para identificar anomalías como picos de tráfico, uso de recursos, crecimiento desmesurado de archivos, y observa patrones de uso de archivos, programas y máquinas.

En conclusión, todos estos puntos deben ayudarte a evaluar la seguridad en tus sistemas de información.

Buenas prácticas de seguridad sistemas de información en la empresa

Algunas de las recomendaciones que siempre hago a mis clientes y que te recomiendo realizar, al margen de la auditoría de sistemas de información, son:

  • Establecer e implementar la debida política de seguridad de TI.
  • Definir un protocolo optimizado de copias de seguridad.
  • Centralizar los datos y limitar su acceso.
  • Vigilar y proteger la red.
  • Proteger las comunicaciones mediante conexiones seguras y encriptadas.
  • Formar a los empleados, es clave para evitar riesgos.
  • Actualizar las contraseñas y el software habitualmente.

Test de seguridad para sistemas de información

Si quieres saber cuál es el nivel de protección de tu empresa frente amenazas informáticas lo mejor es que realices nuestro test de seguridad informática.

Realiza el Test ahora

Te invitamos a realizarlo totalmente gratis.

Así que no te pierdas la oportunidad de conseguir el conjunto de recomendaciones profesionales para mejorar el nivel de protección de tus sistemas de información.

 

Deja un comentario