Seguridad informática para empresas

La seguridad informática es algo serio que toda empresa debe atender. El Día Internacional de la Seguridad Informática, 30 de noviembre, es buen momento para la reflexión, pero no es cosa de un día y las empresas debemos atender la seguridad todo el año.

Valenttin

El treinta de noviembre de cada año se celebra el Día Internacional de la Seguridad Informática, y creo que es un buen momento para darle un repaso. Este término, seguridad informática, es muy amplio. Lo impregna todo: ordenadores personales, dispositivos móviles, copias de seguridad, privacidad, control del acceso a la información, sitios web, almacenamiento en la nube, etc. Como todo esto da para escribir varios libros, en este artículo voy a centrarme solamente en algunos aspectos básicos, pero no por ello menos importantes, de la seguridad informática que una empresa con presencia en el mundo digital debe conocer y cuidar.

El sitio web de mi empresa

El 98,4% de las empresas españolas con diez o más empleados dispone de conexión a internet, y el 77,5% de ellas tiene un sitio web. Esta información, y más datos interesantes, aparecen en la encuesta (disponible en PDF) del Instituto Nacional de Estadística (INE) sobre el uso de Tecnologías de la Información y las Comunicaciones (TIC) y Comercio Electrónico del primer trimestre de 2016.

Es muy probable, por tanto, que tu empresa o la empresa donde trabajas tenga un sitio web, quizás desee renovar el existente o quizás quiera construir uno nuevo con una finalidad distinta a la que ya existe. Es aquí donde empieza la seguridad, porque la seguridad informática no es un elemento más a añadir a un sitio web, como si fuese un página, un vídeo o un blog. Debe formar parte de su ADN; es la base sobre la que se construye todo lo demás, y por tanto la seguridad informática empieza en el análisis y especificación del sitio web, atendiendo después a todas las fases de desarrollo hasta llegar a la publicación del sitio web y su mantenimiento.

En ttandem.com estamos convencidos de que esto es así, nos gusta la seguridad informática, y por eso creamos nuestro propio 'ttandem engine', que está basado en WordPress y añade muchas ventajas adicionales, entre ellas la mejora de la seguridad informática. Otro aspecto importante que consideramos al diseñar un sitio web es el uso de autenticación por doble factor, ya sea en general o aplicada a Wordpress en particular.

Mantenimiento de mi sitio web

Otro aspecto importante de la seguridad informática es el mantenimiento preventivo, que incluye todos los cuidados encaminados a prevenir posibles problemas en un sitio web, adelantarse para que no sucedan. Se debe tener en cuenta que todas las tecnologías en torno a internet evolucionan a gran velocidad y un sitio web debe mantenerse al día. Estas son algunas tareas de mantenimiento preventivo:

Aplicar actualizaciones y parches de seguridad en servidores: con cierta regularidad se descubren problemas de seguridad en el software de los servidores web. Dejarlos sin actualizar supone correr el riesgo de ser atacados y sufrir robos de información, utilizar nuestros servidores web para el envío de correo basura u otras actividades fraudulentas, o simplemente dejar nuestro sitio web fuera de servicio. Dependiendo del tipo de alojamiento web deberemos encargarnos nosotros de este tipo de actualizaciones o lo hará la empresa que nos ofrece el alojamiento para el sitio web.
Aplicar actualizaciones y parches de seguridad en el software del sitio web: además de los problemas del servidor (por ejemplo el sistema operativo) pueden descubrirse problemas de seguridad o rendimiento en el software utilizado por el sitio web (Apache, IIS, ASP.net, WordPress, PHP, etc.). En estos casos también hay que aplicar las actualizaciones de seguridad lo antes posible.
Actualizar versiones obsoletas: en otras ocasiones las versiones de software utilizadas finalizan su vida (ya no tienen soporte técnico) y deben ser sustituidas por nuevas versiones. Por ejemplo, en el momento de escribir este artículo, las versiones 5.3, 5.4 y 5.5 de PHP están obsoletas y ya no reciben soporte técnico. A pesar de ello existen muchos sitios web que todavía las utilizan. Al no tener soporte técnico, los problemas de seguridad que van apareciendo no son corregidos, dejando en riesgo a los sitios web que utilizan esas versiones. A día de hoy se deberían actualizar todos los sitios web que utilizan PHP a la versión 5.6 ó 7.0.
Vigilancia de registros de acceso: lo sitios web crean un registro de todas las solicitudes que reciben. Su uso más habitual suele ser obtener estadísticas de uso, del tráfico web, pero también nos puede servir para detectar intentos de acceso fraudulentos, páginas que no se encuentran o páginas que producen algún tipo de error y que requieren alguna corrección en el sitio web.

¿Quieres o debes rediseñar, optimizar o actualizar tu sitio web?

Averigua a través de este cuestionario cuál es la mejor solución para ti

Quiero la solución

Los empleados de mi empresa

Es importante que los empleados de una empresa cuiden la seguridad informática de sus equipos y tengan hábitos saludables en la utilización de las tecnologías de la información y las comunicaciones (TIC). Si esto no se cumplen corremos el riesgo de publicar en el sitio web de la empresa documentos infectados con 'malware' (software malicioso), que secuestren los ordenadores de la empresa con 'ramsonware' o que nos roben información confidencial.

Hace poco escribí un artículo en este blog titulado 'Consejos básicos de seguridad informática para profesionales' donde se detallan algunas medidas de seguridad que todos los profesionales deben tener en cuenta.

Seguridad informática en mi empresa

En el punto anterior me centraba en los empleados de una empresa y ahora me voy a centrar en la propia empresa. Esta, además de concienciar, formar y poner los medios necesarios para que sus empleados adopten buenas prácticas de seguridad informática, tiene también importantes tareas que cumplir. Todas ellas se resumen en la creación e implantación del llamado Sistema de Gestión de la Seguridad de la Información (SGSI), cuyos principales objetivos detallo a continuación. Es importante que las empresas se pregunten si están cumpliendo estos objetivos, y si la respuesta es negativa que pongan los medios para cumplirlos.

Definir y hacer cumplir una política sobre el uso de los ordenadores de la empresa: política de contraseñas, programas informáticos oficiales permitidos, política de instalación de programas, uso de memorias USB, dispositivos que pueden o no conectarse a los ordenadores, etc.
Política sobre dispositivos móviles: debe contemplar qué dispositivos móviles permite la empresa y en qué condiciones se deben utilizar. Si los empleados pueden utilizar sus equipos, algo que se conoce como BYOD (del inglés 'Bring Your Own Device', 'Trae Tu Propio Dispositivo') , se debe definir en qué condiciones. Sean los equipos móviles de los empleados o de la empresa, se debe marcar una política sobre el cifrado de la información de teléfonos, tabletas y portátiles que salen de la empresa, de su bloqueo con contraseñas u otras medidas y de los medios de conexión a internet que estos dispositivos deben utilizar. Pregúntate qué consecuencias tendría que los dispositivos móviles que se utilizan en tu empresa se perdieran o los robaran.
Protección de la información: todas las empresas tienen ordenadores donde almacenan su información. En algunos casos son equipos localizados en las oficinas de la empresa y en otros casos son equipos localizados en la nube, en internet. En cualquier caso se debe definir y cumplir una política que garantice que sólo aquellas personas autorizadas acceden a una determinada información. Debe considerarse que la principal fuente de fuga de información son los empleados. También debe garantizarse la salvaguarda de la información a través de una política de copias de seguridad adecuada.
Plan de contingencia: de todos los aspectos de la seguridad informática en una empresa mi experiencia me dice que este es el más descuidado. En Madrid, en el año 2005, se incendió la Torre Windsor. De la noche a la mañana las oficinas de muchas empresas ya no existían. Las empresas que sobrevivieron al desastre tenían un plan de contingencia. Hazte estas preguntas: si debido a cualquier siniestro tu empresa física desaparece, ¿tienes una plan que detalle los pasos a dar para ponerla de nuevo en marcha?, ¿serías capaz de recuperar toda la información que tu empresa necesita para funcionar?, ¿en cuánto tiempo serías capaz de volver a atender a tus clientes y en tener la empresa operativa al cien por cien?

En resumen, la seguridad informática es algo importante que toda empresa debe atender. El Día Internacional de la Seguridad Informática es buen momento para la reflexión, pero no es cosa de un día y las empresas debemos atender la seguridad todo el año.

Comentarios

Deja una respuesta Cancelar la respuesta

No hay comentarios

Cookie	Tipo	Duración	Descripción
__atuvc	Persistente	1 año	AddThis - Cookie relacionada con un botón para compartir AddThis disponible en el sitio web.
__atuvs	Sesión	Sesión	Esta cookie se incrusta comúnmente en sitios web para permitir a los visitantes compartir contenidos con una serie de contactos e intercambio de plataformas.
__Secure-3PSIDCC	Persistente	1 año	Cookie necesaria para la utilización de las opciones y servicios del sitio web.
_first_pageview	Sesión	Sesión	Cookie necesaria para la utilización de las opciones y servicios del sitio web.
_hjAbsoluteSessionInProgress	Sesión	Sesión	Cookie necesaria para la utilización de las opciones y servicios del sitio web.
_hjIncludedInPageviewSample	Sesión	Sesión	Cookie necesaria para la utilización de las opciones y servicios del sitio web.
_hjTLDTest	Sesión	Sesión	Cookie necesaria para la utilización de las opciones y servicios del sitio web.
_jsuid	Persistente	1 año	Cookie necesaria para la utilización de las opciones y servicios del sitio web.
CONSENT	Persistente	17 años	Rastreador de consentimiento de cookies de Google.
cookielawinfo-checkbox-necessary	0	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-necessary	Persistente	11 meses	Esta cookie está configurada por el complemento GDPR Cookie Consent. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Necesario".
cookielawinfo-checkbox-non-necessary	0	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Non Necessary".
cookielawinfo-checkbox-non-necessary	Persistente	11 meses	Esta cookie está configurada por el complemento GDPR Cookie Consent. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "No necesarias".
no_tracky_100745922	Sesión	Sesión	Cookie necesaria para la utilización de las opciones y servicios del sitio web.
PHPSESSID	Sesión	Sesión	Cookies generada por las aplicaciones basadas en el lenguaje PHP. Se trata de un identificador de propósito general usado para mantener las variables de sesión de usuario. Normalmente es un número generado al azar, cómo se utiliza puede ser específica para el sitio, pero un buen ejemplo es el mantenimiento de una sesión iniciada en el estado de un usuario entre las páginas.
SEARCH_SAMESITE	Persistente	6 meses	SameSite evita que el navegador envíe esta cookie junto con las solicitudes entre sitios. El objetivo principal es mitigar el riesgo de fuga de información de origen cruzado. También proporciona cierta protección contra ataques de falsificación de solicitudes entre sitios.
test_cookie	Persistente	11 meses	Comprueba si el navegador tiene las cookies activadas.
tt_cookie	Persistente	1 mes	Cookie necesaria para la utilización de las opciones y servicios del sitio web.
viewed_cookie_policy	0	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.
viewed_cookie_policy	Persistente	11 meses	La cookie se configura mediante el complemento de consentimiento de cookies GDPR y se utiliza para almacenar si el usuario ha consentido o no el uso de cookies. No almacena ningún dato personal.

Cookie	Tipo	Duración	Descripción
__Secure-3PSID	Persistente	2 años	Estas cookies se utilizan para entregar anuncios más relevantes para usted y sus intereses.
_dc_gtm_UA-42757844-1	Sesión	Sesión	Cookie necesaria para la utilización de las opciones y servicios del sitio web.
_ga	Persistente	2 años	ID utiliza para identificar a los usuarios.
_gid	Persistente	20 horas	ID utiliza para identificar a los usuarios durante 24 horas después de la última actividad.
_hjid	Persistente	1 año	Cookie Hotjar. Esta cookie se establece cuando el cliente llega por primera vez en una página con el script Hotjar. Se utiliza para conservar la identificación de usuario aleatoria, exclusiva de ese sitio en el navegador. Esto garantiza que el comportamiento en visitas posteriores al mismo sitio se atribuirá a la misma ID de usuario.

Cookie	Tipo	Duración	Descripción
__Secure-3PAPISID	Persistente	2 años	Estas cookies se utilizan para entregar anuncios más relevantes para usted y sus intereses.
__Secure-3PAPISID	Persistente	2 años	Estas cookies se utilizan para entregar anuncios más relevantes para usted y sus intereses.
__Secure-3PSID	Persistente	2 años	Estas cookies se utilizan para entregar anuncios más relevantes para usted y sus intereses.
AID	Persistente	1 año	Descargar ciertas herramientas de Google y guardar ciertas preferencias, por ejemplo, el número de resultados de la búsqueda por hoja o la activación del filtro SafeSearch. Ajusta los anuncios que aparecen en la búsqueda de Google.
APISID	Persistente	2 años	Descargar ciertas herramientas de Google y guardar ciertas preferencias, por ejemplo, el número de resultados de la búsqueda por hoja o la activación del filtro SafeSearch. Ajusta los anuncios que aparecen en la búsqueda de Google.
HSID	Persistente	2 años	Descargar ciertas herramientas de Google y guardar ciertas preferencias, por ejemplo, el número de resultados de la búsqueda por hoja o la activación del filtro SafeSearch. Ajusta los anuncios que aparecen en la búsqueda de Google.
NID	Persistente	7 meses	Estas cookies se utilizan para recopilar estadísticas del sitio web y rastrear las tasas de conversión y la personalización de anuncios de Google.
NID	Persistente	7 meses	Estas cookies se utilizan para recopilar estadísticas del sitio web y rastrear las tasas de conversión y la personalización de anuncios de Google.
SAPISID	Persistente	2 años	Descargar ciertas herramientas de Google y guardar ciertas preferencias, por ejemplo, el número de resultados de la búsqueda por hoja o la activación del filtro SafeSearch. Ajusta los anuncios que aparecen en la búsqueda de Google.
SID	Persistente	2 años	Descargar ciertas herramientas de Google y guardar ciertas preferencias, por ejemplo, el número de resultados de la búsqueda por hoja o la activación del filtro SafeSearch. Ajusta los anuncios que aparecen en la búsqueda de Google.
SIDCC	Persistente	1 año	Descargar ciertas herramientas de Google y guardar ciertas preferencias, por ejemplo, el número de resultados de la búsqueda por hoja o la activación del filtro SafeSearch. Ajusta los anuncios que aparecen en la búsqueda de Google.
SSID	Persistente	2 años	Descarga ciertas herramientas de Google y guarda ciertas preferencias, por ejemplo, el número de resultados de búsqueda por página o la activación del filtro SafeSearch. Ajusta los anuncios que aparecen en la Búsqueda de Google.

Tu guía digital

Seguridad informática para empresas

El sitio web de mi empresa

Mantenimiento de mi sitio web

¿Quieres o debes rediseñar, optimizar o actualizar tu sitio web?

Los empleados de mi empresa

Seguridad informática en mi empresa

14 elementos importantes que debes incluir en tu página de inicio

Sal de dudas

Otros contenidos de Desarrollo y programación

Sitemap y robots.txt para mejorar tu web

¿Qué es el posicionamiento ASO?

¿Qué es una Aplicación Web Progresiva o PWA?

¿Sabes qué es el WPO y cómo afecta al posicionamiento de tu página web?

Pasos para cuando no ves actualizado tu sitio web

Comentarios

Deja una respuesta Cancelar la respuesta

¿Quieres avanzar?