El treinta de noviembre de cada año se celebra el Día Internacional de la Seguridad Informática, y creo que es un buen momento para darle un repaso. Este término, seguridad informática, es muy amplio. Lo impregna todo: ordenadores personales, dispositivos móviles, copias de seguridad, privacidad, control del acceso a la información, sitios web, almacenamiento en la nube, etc. Como todo esto da para escribir varios libros, en este artículo voy a centrarme solamente en algunos aspectos básicos, pero no por ello menos importantes, de la seguridad informática que una empresa con presencia en el mundo digital debe conocer y cuidar.
El sitio web de mi empresa
El 98,4% de las empresas españolas con diez o más empleados dispone de conexión a internet, y el 77,5% de ellas tiene un sitio web. Esta información, y más datos interesantes, aparecen en la encuesta (disponible en PDF) del Instituto Nacional de Estadística (INE) sobre el uso de Tecnologías de la Información y las Comunicaciones (TIC) y Comercio Electrónico del primer trimestre de 2016.
Es muy probable, por tanto, que tu empresa o la empresa donde trabajas tenga un sitio web, quizás desee renovar el existente o quizás quiera construir uno nuevo con una finalidad distinta a la que ya existe. Es aquí donde empieza la seguridad, porque la seguridad informática no es un elemento más a añadir a un sitio web, como si fuese un página, un vídeo o un blog. Debe formar parte de su ADN; es la base sobre la que se construye todo lo demás, y por tanto la seguridad informática empieza en el análisis y especificación del sitio web, atendiendo después a todas las fases de desarrollo hasta llegar a la publicación del sitio web y su mantenimiento.
En ttandem.com estamos convencidos de que esto es así, nos gusta la seguridad informática, y por eso creamos nuestro propio 'ttandem engine', que está basado en WordPress y añade muchas ventajas adicionales, entre ellas la mejora de la seguridad informática. Otro aspecto importante que consideramos al diseñar un sitio web es el uso de autenticación por doble factor, ya sea en general o aplicada a Wordpress en particular.
Mantenimiento de mi sitio web
Otro aspecto importante de la seguridad informática es el mantenimiento preventivo, que incluye todos los cuidados encaminados a prevenir posibles problemas en un sitio web, adelantarse para que no sucedan. Se debe tener en cuenta que todas las tecnologías en torno a internet evolucionan a gran velocidad y un sitio web debe mantenerse al día. Estas son algunas tareas de mantenimiento preventivo:
- Aplicar actualizaciones y parches de seguridad en servidores: con cierta regularidad se descubren problemas de seguridad en el software de los servidores web. Dejarlos sin actualizar supone correr el riesgo de ser atacados y sufrir robos de información, utilizar nuestros servidores web para el envío de correo basura u otras actividades fraudulentas, o simplemente dejar nuestro sitio web fuera de servicio. Dependiendo del tipo de alojamiento web deberemos encargarnos nosotros de este tipo de actualizaciones o lo hará la empresa que nos ofrece el alojamiento para el sitio web.
- Aplicar actualizaciones y parches de seguridad en el software del sitio web: además de los problemas del servidor (por ejemplo el sistema operativo) pueden descubrirse problemas de seguridad o rendimiento en el software utilizado por el sitio web (Apache, IIS, ASP.net, WordPress, PHP, etc.). En estos casos también hay que aplicar las actualizaciones de seguridad lo antes posible.
- Actualizar versiones obsoletas: en otras ocasiones las versiones de software utilizadas finalizan su vida (ya no tienen soporte técnico) y deben ser sustituidas por nuevas versiones. Por ejemplo, en el momento de escribir este artículo, las versiones 5.3, 5.4 y 5.5 de PHP están obsoletas y ya no reciben soporte técnico. A pesar de ello existen muchos sitios web que todavía las utilizan. Al no tener soporte técnico, los problemas de seguridad que van apareciendo no son corregidos, dejando en riesgo a los sitios web que utilizan esas versiones. A día de hoy se deberían actualizar todos los sitios web que utilizan PHP a la versión 5.6 ó 7.0.
- Vigilancia de registros de acceso: lo sitios web crean un registro de todas las solicitudes que reciben. Su uso más habitual suele ser obtener estadísticas de uso, del tráfico web, pero también nos puede servir para detectar intentos de acceso fraudulentos, páginas que no se encuentran o páginas que producen algún tipo de error y que requieren alguna corrección en el sitio web.
¿Quieres o debes rediseñar, optimizar o actualizar tu sitio web?
Averigua a través de este cuestionario cuál es la mejor solución para ti
Los empleados de mi empresa
Es importante que los empleados de una empresa cuiden la seguridad informática de sus equipos y tengan hábitos saludables en la utilización de las tecnologías de la información y las comunicaciones (TIC). Si esto no se cumplen corremos el riesgo de publicar en el sitio web de la empresa documentos infectados con 'malware' (software malicioso), que secuestren los ordenadores de la empresa con 'ramsonware' o que nos roben información confidencial.
Hace poco escribí un artículo en este blog titulado 'Consejos básicos de seguridad informática para profesionales' donde se detallan algunas medidas de seguridad que todos los profesionales deben tener en cuenta.
Seguridad informática en mi empresa
En el punto anterior me centraba en los empleados de una empresa y ahora me voy a centrar en la propia empresa. Esta, además de concienciar, formar y poner los medios necesarios para que sus empleados adopten buenas prácticas de seguridad informática, tiene también importantes tareas que cumplir. Todas ellas se resumen en la creación e implantación del llamado Sistema de Gestión de la Seguridad de la Información (SGSI), cuyos principales objetivos detallo a continuación. Es importante que las empresas se pregunten si están cumpliendo estos objetivos, y si la respuesta es negativa que pongan los medios para cumplirlos.
- Definir y hacer cumplir una política sobre el uso de los ordenadores de la empresa: política de contraseñas, programas informáticos oficiales permitidos, política de instalación de programas, uso de memorias USB, dispositivos que pueden o no conectarse a los ordenadores, etc.
- Política sobre dispositivos móviles: debe contemplar qué dispositivos móviles permite la empresa y en qué condiciones se deben utilizar. Si los empleados pueden utilizar sus equipos, algo que se conoce como BYOD (del inglés 'Bring Your Own Device', 'Trae Tu Propio Dispositivo') , se debe definir en qué condiciones. Sean los equipos móviles de los empleados o de la empresa, se debe marcar una política sobre el cifrado de la información de teléfonos, tabletas y portátiles que salen de la empresa, de su bloqueo con contraseñas u otras medidas y de los medios de conexión a internet que estos dispositivos deben utilizar. Pregúntate qué consecuencias tendría que los dispositivos móviles que se utilizan en tu empresa se perdieran o los robaran.
- Protección de la información: todas las empresas tienen ordenadores donde almacenan su información. En algunos casos son equipos localizados en las oficinas de la empresa y en otros casos son equipos localizados en la nube, en internet. En cualquier caso se debe definir y cumplir una política que garantice que sólo aquellas personas autorizadas acceden a una determinada información. Debe considerarse que la principal fuente de fuga de información son los empleados. También debe garantizarse la salvaguarda de la información a través de una política de copias de seguridad adecuada.
- Plan de contingencia: de todos los aspectos de la seguridad informática en una empresa mi experiencia me dice que este es el más descuidado. En Madrid, en el año 2005, se incendió la Torre Windsor. De la noche a la mañana las oficinas de muchas empresas ya no existían. Las empresas que sobrevivieron al desastre tenían un plan de contingencia. Hazte estas preguntas: si debido a cualquier siniestro tu empresa física desaparece, ¿tienes una plan que detalle los pasos a dar para ponerla de nuevo en marcha?, ¿serías capaz de recuperar toda la información que tu empresa necesita para funcionar?, ¿en cuánto tiempo serías capaz de volver a atender a tus clientes y en tener la empresa operativa al cien por cien?
En resumen, la seguridad informática es algo importante que toda empresa debe atender. El Día Internacional de la Seguridad Informática es buen momento para la reflexión, pero no es cosa de un día y las empresas debemos atender la seguridad todo el año.
Comentarios
No hay comentarios