El hecho que toda la información esté ubicada en el mismo sistema informático hace que esta sea atractiva tanto para los trabajadores, como por la competencia o simplemente sea objetivo de hackers, crackers o virus, pudiendo generar pérdidas incalculables. Es por eso que no debemos menospreciar la seguridad del sistema.
Fisicamente podemos poner cerraduras y puertas, alarmas, medidas contra incendios, etc, para evitar males mayores a nuestra empresa. Del mismo modo lo podemos hacer tambien en el mundo cibernético. Es cierto que no existe un sistema 100% infalible pero si que nos podemos acercar al máximo. Naturalmente como mayor sea la inversión en seguridad mayor será la infalibilidad de nuestro sistema, eso no supone que debemos realizar una inversión exagerada sino que debemos buscar el equilibrio entre seguridad y presupuesto.
El servicio de seguridad se divide en diferentes apartados según se requiera:
AUDITORIA DE LA RED
Nos basamos en la metodologia “Open Source Security Testing Methology Manual” del “Institute for Security and Open Methodologies”, la ISO 17799 sobre Seguridad de la Información, herramientas comerciales de reconocido prestigio y la nuestra propia experiéncia y formación en sistemas informáticos. La auditoria puede ser:
Interna
Se verifica el estado de seguridad interno de la empresa, comprobando los siguientes puntos:
- Política de seguridad establecida.
- Restricciones y permisos de acceso de los usuarios.
- Sistemas de autenticación.
- Funcionamento de los servidores, incluyendo las aplicaciones servidores.
- Copias de seguridad
- Aplicaciones de anti-virus y malware.
- Electrónica de red: switch, routers y dispositivos Wi-Fi.
- Accesos externos mediante VPNs o servicios publicados.
Externa
Se verifican los dispositivos de entrada a la empresa como el cortafuegos y servicios publicados. Opcionalmente, se llevan a cabo las modificaciones en sistemas para mejorar la política de seguridad.
ANÁLISIS DE VULNERABILIDADES
Los escáneres se realizan en una cuenta proporcionada por el cliente y con una cuenta anónima, para poder detectar la posibilidad de intrusión mediante técnicas de hacking.
Interno
Consiste en la realización de un escáner de todos los dispositivos de la red interna para identificar que podría realizar un usuario no autorizado con acceso a la red interna. Es una prueba con resultados muy interesantes porque la mayoria de accesos indebidos a la información, un 85% aproximadamente, se realiza por los propios usuarios internos. (Por ejemplo: nóminas, contabilidades, etc…).
Externo
Consiste en la realización de un escáner des de Internet a los diferentes puntos de acceso analizando las vulnerabilidades de los cortafuegos y servicios publicados. Tambien se analiza la posibilidad de acceso a la red interna violando las medidas de seguridad para analizar que tipo de información se puede conseguir para poder adoptar las medidas correctas para que esto no pase.
Los análisis de vulnerabilidades se realizan de forma periódica, previo acuerdo con la empresa, según el riesgo a soportar.
POLÍTICA DE SEGURIDAD
- Aplicación de las normativas de seguridad contempladas en la ISO 17799.
- Entrega de la documentación sobre la Política de Seguridad establecida a la empresa para la realización del “Documento de Seguridad” así como su revisión.
Si no tiene aplicada la Ley Orgánica de Protección de Datos (L.O.P.D.), encontrará la solución perfecta con SegurDades, una empresa asociada al grupo Infordisa que le realizará todos los trámites y asesoramiento legal que necesite para su cumplimiento.
