Definirás una política de seguridad: Es el documento que rige toda la seguridad de la información en la compañía. Se recomienda que no sea muy extensa (ningún empleado podrá comprometerse con un documento excesivamente extenso), que sea realista (pedirle a los empleados cosas posibles para mantener la credibilidad) y que se les de valor. Es preferible, además, que las mismas sean entregadas a los empleados por los altos cargos o por el departamento de Recursos Humanos, en lugar del soporte técnico de IT, para que le asignen mayor importancia.

Utilizarás tecnologías de seguridad: Son la base de la seguridad de la información en la empresa. Una red que no cuente con protección antivirus, un firewall o una herramienta antispam estará demasiado expuesta como para cubrir la protección con otros controles. Según lo presentado en el ESET Security Report Latinoamérica, el 38% de las empresas de la región se infectaron con malware el último año.

Educarás a tus usuarios: Los usuarios técnicos o del departamento de IT suelen ser omitidos en este tipo de iniciativas, como si estuviera comprobado que están menos expuestos a las amenazas informáticas. Según las estadísticas de ESET, el 45% de los ataques informáticos detectados en la región utiliza técnicas de Ingeniería Social- es decir, que atentan contra el desconocimiento del usuario para infectarlo. Por ello, es fundamental que toda la empresa forme parte de los procesos de educación y capacitación.

Controlarás el acceso físico a la información: La seguridad de la información no es un problema que deba abarcar sólo la información virtual, sino también los soportes físicos donde ésta es almacenada. ¿Dónde están los servidores? ¿Quién tiene acceso a éstos? Sin lugar a dudas, el acceso físico es fundamental. También deben ser considerados en este aspecto los datos impresos, el acceso físico a oficinas con información confidencial (el gerente, el contador, etc.) o el acceso a las impresoras.

Actualizarás tu software: Las vulnerabilidades de software son la puerta de acceso a muchos ataques que atentan contra la organización. Según el informe sobre el estado del malware en Latinoamérica elaborado por ESET, el 41% de los dispositivos USB están infectados y el 17% del malware utilizan explotación de vulnerabilidades. Mantener tanto el sistema operativo como el resto de las aplicaciones con los últimos parches de seguridad, es una medida de seguridad indispensable.

No utilizarás a IT como tu equipo de Seguridad Informática: Es uno de los errores más frecuentes, por lo que es importante recordar que la seguridad no es un problema meramente tecnológico. Debe existir un área cuyo único objetivo sea la seguridad de la información para que ésta no pueda ser relegada por otros objetivos asociados a la usabilidad, como por ejemplo la instalación y puesta a punto de determinado servicio, según las necesidades comerciales.

No usarás usuarios administrativos: De esta forma, una intrusión al sistema estará limitada en cuánto al daño que pueda causar en el mismo.

No invertirás dinero en seguridad sin un plan adecuado: La seguridad debe ser concebida para proteger la información y, por ende, el negocio. Hacer inversiones en seguridad sin medir el valor de la información que se está protegiendo y la probabilidad de pérdidas por incidentes puede derivar en dinero mal invertido o, básicamente, en dinero perdido.

No terminarás un proyecto en seguridad: La seguridad debe ser concebida como un proceso continuo, no como un proyecto con inicio y fin. Es cierto que pequeñas implementaciones de los controles pueden necesitar de proyectos, pero la protección general de la información es una necesidad permanente del negocio que debe encontrarse en mejora continua.

No subestimarás a la seguridad de la información: Entender el valor que asigna al negocio tener la información protegida es clave. Muchas empresas, especialmente las pequeñas y medianas, no pueden recuperarse de un incidente de gravedad contra la seguridad de la información.

Fuente: DiarioTi

Artículos relacionados:

• 28 de enero, 2010 -- El ciclo PDCA como sistema de gestión de la seguridad
• 12 de mayo, 2009 -- Servidor Hackeado
• 13 de marzo, 2009 -- Máster Seguridad Informática: Comienzo del segundo semestre
• 9 de abril, 2010 -- Foro para comentar el Mundial 2010
• 27 de enero, 2010 -- Campañas de prevención de accidentes de tráfico
• 10 de diciembre, 2009 -- Cómo compartir archivos con una VPN y SAMBA
• 30 de septiembre, 2009 -- Diario de Barcelona hackeado… o es una promoción???
• 4 de julio, 2009 -- Cómo localizar una dirección IP

El ciclo PDCA es una estrategia que siguiéndola nos proporciona una continúa mejora de la calidad, puesto que es un sistema retroalimentado y que se tiene que repetir y repetir durante toda nuestra vida, porque siempre hay algo para mejorar y algo de lo que aprender. Y esto se resume muy bonito y muy claro en la siguiente imagen (obtenida de wikipedia.org):

Y su explicación es muy sencilla:

• Plan: Planificar. Establecer los objetivos y procesos necesarios para obtener los resultados de acuerdo con el resultado esperado.
• Do: Hacer. Implementar los nuevos procesos. Si es posible, en una pequeña escala, que ya tendremos tiempo de abarcar más.
• Check: Verificar. Pasado un periodo de tiempo previsto de antemano (en la planificación), volver a recopilar datos de control y analizarlos, comparándolos con los objetivos y especificaciones iniciales, para evaluar si se ha producido la mejora esperada. Documentar las conclusiones.
• Act: Actuar. Modificar los procesos según las conclusiones del paso anterior para alcanzar los objetivos con las especificaciones iniciales, si fuese necesario. Aplicar nuevas mejoras, si se han detectado errores en el paso anterior. Documentar el proceso.

Y como es un sistema circular, una vez que hemos terminado el primer ciclo, volveríamos a comenzar planificando, haciendo, verificando….
Como veis los informáticos no somos tan raros, porque al fin y al cabo este sistema nos vale perfectamente para nuestra vida diaria, para resolver otros problemas, que pueden ser bastante más complejos que los de la seguridad informática.

Artículos relacionados:

• 16 de junio, 2011 -- El decálogo de la seguridad informática
• 9 de abril, 2010 -- Foro para comentar el Mundial 2010
• 27 de enero, 2010 -- Campañas de prevención de accidentes de tráfico
• 10 de diciembre, 2009 -- Cómo compartir archivos con una VPN y SAMBA
• 30 de septiembre, 2009 -- Diario de Barcelona hackeado… o es una promoción???
• 4 de julio, 2009 -- Cómo localizar una dirección IP
• 19 de junio, 2009 -- Proyecto: sistema de teletrabajo
• 16 de junio, 2009 -- El tiempo disponible, es inversamente proporcional al tiempo necesitado

Hoy vengo a poneros un vídeo que agrupa en uno unos cuántos de esos vídeos, recopilando las campañas más duras con una música que no deja indiferente. No se si realmente esto tendrá el efecto que pretenden, pero a mi la verdad que me ha puesto los pelos de punta.

Artículos relacionados:

• 16 de junio, 2011 -- El decálogo de la seguridad informática
• 28 de enero, 2010 -- El ciclo PDCA como sistema de gestión de la seguridad
• 10 de diciembre, 2009 -- Cómo compartir archivos con una VPN y SAMBA
• 22 de julio, 2009 -- El ballet no es cosa de gays
• 6 de noviembre, 2008 -- Seguridad Informática doméstica

Pues la solución que he dado para ello y que ya está ha sido montar SAMBA como sistema de compartición de archivos, y para los accesos externos he montado una VPN, de forma que se puedan conectar y acceder a los recursos compartidos de SAMBA. La otra solución era redirigir un puerto del router al puerto de SAMBA, pero me pareció una solución muy arriesgada desde el punto de vista de la seguridad.

Agradezco este par de post, que me han ayudado en mi tarea:

• Linux para todos: Cómo configurar Samba
• Metalklesk’s space: VPN segura en openSUSE 11.0 y Windows XP con openVPN

Artículos relacionados:

• 16 de junio, 2011 -- El decálogo de la seguridad informática
• 28 de enero, 2010 -- El ciclo PDCA como sistema de gestión de la seguridad
• 27 de enero, 2010 -- Campañas de prevención de accidentes de tráfico
• 6 de noviembre, 2008 -- Seguridad Informática doméstica

Ya he comenzado mi master en Seguridad Informática. Lo que he pensado es que os voy a ir contando chascarrillos, recomendaciones de uso particular. Es decir que no me voy a poner a hablar de seguridad empresarial (igual más adelante lo voy haciendo) si no que más bien me voy a centrar de momento en la seguridad a nivel “hogar”. Hablar de los antivirus, trojanos, cortafuegos, emule… todo ese tipo de cosas que mucha gente me pregunta a mi porque soy informático.

Bien pues a partir de ahora les remitiré a este blog y que vayan leyendo y aprendiendo, jeje.

Para empezar… ¿qué tema te gustarías que tratara? ¿tienes alguna pregunta de algo sobre tu pc? ¿alguna duda sobre los virus, trojanos…? Puedes poner un comentario a este post, e iré dando las respuestas los próximos post.

Artículos relacionados:

• 16 de junio, 2011 -- El decálogo de la seguridad informática
• 28 de enero, 2010 -- El ciclo PDCA como sistema de gestión de la seguridad
• 27 de enero, 2010 -- Campañas de prevención de accidentes de tráfico
• 10 de diciembre, 2009 -- Cómo compartir archivos con una VPN y SAMBA
• 28 de enero, 2009 -- Bill Gates y el spam, el spam y Bill Gates
• 23 de enero, 2009 -- Kaspersky Internet Security 2009