El fet que tota la informació estigui ubicada en el sistema informàtic fa que aquesta sigui una atractiva d’aconseguir tant pels propis treballadors, com per la competència o simplement objectiu de hackers, crackers o virus podent generar pèrdues incalculables. És per això que no em de menysprear la seguretat del sistema.
Físicament, podem posar panys i portes, alarmes, mesures contra-incendis, etc, per tal d’evitar mals a la nostra empresa. De la mateixa manera ho podem fer també en el món cibernètic. És ben cert que no existeix un sistema 100% infal·lible, però sí que ens hi podem acostar molt. Naturalment com major és la inversió en seguretat major és la infal·libilitat del nostre sistema, això no suposa que hem de realitzar una inversió desmesurada sinó hem de cercar un equilibri entre seguretat i pressupost.
El servei de seguretat es divideix en diferents apartats segons calgui:
AUDITORIA DE LA XARXA
Ens basem en la Metodologia “Open Source Security Testing Methology Manual” del “Institute for Security and Open Methodologies”, la ISO 17799 sobre Seguretat de la Informació, eines comercials de reconegut prestigi i la pròpia experiència i formació en sistemes informàtics. L’auditoria pot ser:
Interna
Es verifica l’estat de seguretat intern de l’empresa, comprovant els següents punts:
- Política de seguretat establerta.
- Restriccions i permisos d’accés dels usuaris.
- Sistemes d’autenticació.
- Funcionament dels servidors, incloent les aplicacions servidores.
- Còpies de seguretat
- Aplicacions d’anti-virus i malware.
- Electrònica de xarxa: switch, routers i dispositius Wi-Fi.
- Accessos externs mitjançant VPNs o serveis publicats.
Externa
Es verifiquen els dispositius d’entrada a l’empresa com el tallafocs i serveis publicats. Opcionalment, es porten a cap les modificacions en el sistema per millorar la política de seguretat.
ANÀLISI DE VULNERABILITATS
Els escànners es realitzen amb un compte proporcionat pel client i amb un compte anònim, per poder detectar la possibilitat d’intrusió mitjançant tècniques de hacking.
Intern
Consisteix en la realització d’un escànner de tots els dispositius de la xarxa interna per identificar què podria realitzar un usuari no autoritzat amb accés a la xarxa interna. És una prova amb resultats molt interessants ja què la majoria d’accessos indeguts a la informació, un 85% aproximadament, es realitza pels propis usuaris interns. (Per exemple: nòmines, comptabilitats, etc…).
Extern
Consisteix en la realització d’un escàner des d’Internet als diferents punts d’accés analitzant les vulnerabilitats del tallafocs i serveis publicats. També s’analitza la possibilitat d’accés a la xarxa interna violant les mesures de seguretat per analitzar quin tipus d’informació es pot aconseguir per poder adoptar les mesures adequades perquè això no passi.
Els anàlisis de vulnerabilitats s’efectuen de forma periòdica, previ acord amb l’empresa, segons el risc a suportar.
POLÍTICA DE SEGURETAT
- Aplicació de les normatives de seguretat contemplades en la ISO 17799.
- Entrega de la documentació sobre la Política de Seguretat establerta a l’empresa per a la realització del “Document de Seguretat” així com la seva revisió.
Si no té aplicada la Llei Orgànica de Protecció de Dades (L.O.P.D.), mitjançant l’empresa associada SegurDades, li realitzem tots els tràmits i assessorament legal pel seu compliment.
