BAQUIA

GE Access elabora el decálogo de la seguridad en la empresa

La seguridad en el sector de las nuevas technologías es tan importante como nunca antes. O por lo menos lo tendría que ser. Por esto, GE Access ha elaborado una guía de las diez medidas fundamentales de seguridad para las empresas, expresada en :

1. Política de Parches. El problema más acuciante al que se enfrenta cualquier compañía dotada de recursos que dispongan de enlaces públicos, es la elaboración de una política exitosa de parches. Semanalmente se descubren vulnerabilidades críticas que afectan a programas informáticos de los servidores, viéndose afectados con regularidad los principales fabricantes. Los Directores de Informática deben establecer una política que les permita tener conocimiento inmediato de una posible vulnerabilidad y disponer de una estrategia que les permita realizar la mejora exigida en un plazo de 48 horas. Asimismo deben estar al corriente de todos los programas informáticos que requieran acceso al exterior, y tener una fuente accesible y digna de confianza para la documentación de parches requerida.

2. Política de Contraseñas. A pesar de ser utilizada en la mayoría de las interfaces entre ordenadores y personas, la política de contraseñas resulta insatisfactoria para la mayoría de las empresas. Para ser más exactos,

    • Las cuentas de usuario tienen contraseñas poco sólidas o no tienen ninguna.
    • Los usuarios no protegen sus contraseñas.
    • El sistema operativo o el software adicional crea cuentas administrativas dotadas de contraseñas poco sólidas o inexistentes.
    • Los algoritmos de verificación de claves son conocidos y a menudo se almacenan informaciones no sólidas de forma que resultan visibles para todos.

Resulta esencial una política sólida de contraseñas, ya que el conocimiento de una contraseña auténtica permite a un usuario malintencionado explorar un sistema con escaso o nulo seguimiento o registro de datos.

3. Administración de Usuarios. Una política eficaz de administración de usuarios protege a una empresa en dos niveles

    • Una política de varios niveles logra que los usuarios se ciñan a la información que es pertinente a sus puestos. Numerosas compañías siguen poniendo en práctica una política de "talla única para todos" al margen del grupo privilegiado del departamento de informática.
    • La eliminación rápida y eficiente de privilegios una vez que un empleado abandone la empresa es esencial, especialmente en el caso de una rescisión de contrato poco amistosa. La política de eliminación de usuarios debe incorporarse al proceso normal seguido por RR.HH., para garantizar la seguridad de los datos de la empresa.

4. Instalación por Defecto. La inmensa mayoría de los programas informáticos, incluidos los Sistemas Operativos, disponen de una instalación por defecto que presenta oportunidades a los intrusos. Algunos programas brindarán una opción de personalizar los componentes instalados en el punto de instalación; otros exigen modificación después de la instalación. La instalación de servicios y componentes que no se requieran puede dejar a un administrador en la ignorancia de posibles debilidades de sus sistemas. Es menos probable que los servicios que no se requieren sean sometidos al escrutinio de un Director de Informática y pueden ser pasados por alto en las políticas de seguridad. Además, la mayoría de los programas informáticos se instalan con un mínimo de seguridad a fin de permitir que los usuarios pongan el sistema en marcha con el mínimo esfuerzo. Una vez que se confirme que el servicio funciona correctamente, los administradores del sistema deben procurar dotar al servicio de una seguridad que se ajuste a las normas exigidas.

5. Política de Cortafuegos. La creación exitosa de una política concisa de cortafuegos resulta esencial para la seguridad de una empresa. Es necesario un único punto de coordinación para una puesta en práctica eficaz de la estrategia. Numerosas empresas confían en políticas de plantillas o en numerosos administradores que abren puertos cuando les es solicitado. Para tener éxito, debe emprenderse una auditoría completa de los servicios presentes en una red. A continuación, debe discutirse un examen general, del tipo "riesgos frente a ventajas", de los permisos correspondientes a varios servicios, antes de que se ponga en práctica una estrategia de cortafuegos bien documentada. Los cambios introducidos en la política de cortafuegos deben analizarse siempre en busca de riesgos, y posteriormente implementarse en una actividad bien coordinada de gestión de cambios.

6. Selección de Fabricantes. En la selección de fabricantes a menudo se pasa por alto el historial de seguridad y el soporte de una organización. Hay varios grupos de seguridad que ponen un historial completo de incidentes sufridos y éxitos obtenidos a disposición de los fabricantes; unos y otros deben tenerse en cuenta cuando se realicen compras a un nuevo proveedor. Numerosas aplicaciones disponen regularmente de actualizaciones de seguridad, y esto es un factor que el comprador debe tener en cuenta.

7. Definiciones de Virus. Un scaner de virus sólo es tan bueno como las definiciones que contiene. Éstas deben actualizarse regularmente, además de cuando se reconozca una amenaza específica. Fundamentalmente, debe haber siempre un punto central de administración, así como un plan documentado acerca de las tareas exigidas durante una infección de virus o un periodo de incremento de las amenazas.

8. Política de Programas Informáticos. Una política clara de instalación de programas informáticos es primordial para la seguridad de una organización. La máquinas deben quedar bloqueadas para todos excepto para los administradores y las aplicaciones deben ser sometidas a pruebas antes de incorporarlas a la configuración oficial de programas correspondiente a un grupo objetivo. Estas rigurosas políticas de control de aplicaciones evitan la instalación accidental de virus y troyanos, además de garantizar la estabilidad del sistema y una localización y reparación de averías más fácil.

9. Seguridad Física. Resulta sorprendente que, después de haber gastado una enorme cantidad de dinero en la seguridad de la red, numerosas compañías no proporcionan una seguridad física adecuada para sus servidores y su equipo de red. Servidores apoyados en escritorios, armarios que no se cierran con llave y puertas abiertas de salas de servidores anulan cualquier ventaja de seguridad instalada. Los requisitos mínimos deben comprender armarios cerrados con un número limitado de poseedores de las llaves y salas especializadas para servidores con acceso restringido. Todo equipo fundamental para una misión debe emplear cerraduras electrónicas como mínimo, prefiriéndose el uso de la biometría.

10. Revisión constante. La Política de Seguridad de una empresa no es un documento inmutable y debe ser actualizado para reflejar el entorno y las necesidades actuales de una empresa. Debe llevarse a cabo una ininterrumpida evaluación de la estrategia actual y deben realizarse ajustes. Asimismo deben llevarse a cabo evaluaciones regulares de las amenazas y sus resultados han de incorporarse al documento. Esto debe realizarse de manera adicional a cualesquiera requisitos empresariales que puedan haber cambiado desde la última revisión de la política de seguridad.

Para más infomración:

Doris Meier

Lewispr.com


Compartir en :


Noticias relacionadas

Recomendamos




Comentarios