Entradas

trabajo-covid-infordisa

Antes de la pandemia sólo 2 de cada 10 trabajadores tenían la opción de teletrabajar y sólo el 4% de empresas disponían de sistemas e infraestructura preparada para realizar teletrabajo.

Desde marzo debido a la COVID comenzó a implementarse el teletrabajo de forma rápida y con muy poca organización, y muchas empresas no pensaron lo suficiente en la ciberseguridad. Debido a esto ha crecido la ciberdelicuencia exponencialmente.

Por eso tenemos que garantizar que nuestros datos estén seguras estemos en la oficina o teletrabajando. Hay que basarse en filosofía «cero-trust» o tolerancia cero, que significa que todo lo que no tengamos a nuestro control lo tenemos que tratar como una amenaza. Y debemos pensar que la seguridad es como una cebolla, que tiene muchas capas y que serán los obstáculos de nuestros atacantes, en caso de que una falle habrá otros que evitarán que accedan a nuestra información.

A continuación, te ofrecemos 10 tips muy sencillos para mejorar la seguridad de sus datos en tiempo de teletrabajo.

  1. Seguridad perimetral Firewall. Que detecte y bloquee comportamiento sospechoso, y tenerlos siempre actualizados y bien configurados.
  2. Antivirus. Es importante tener uno y actualizado. Es interesante que tu equipo de TI o tu proveedor, monitorice el estado con herramientas de gestión centralizada.
  3. Cifrado de extremo a extremo Si nos conectamos remotamente a la empresa, que sea mediante una VPN con un buen cifrado.
  4. No utilizar herramientas gratuitas como Any-Desk, TeamViewer, que nos obliga a mantener 24/7 nuestros equipos encendidos, para que los ciber-delincuentes suelen aprovechar las noches para ejecutar los ataques y no levantar sospechas
  5. Si tenemos reuniones o videollamadas debemos asegurarnos que sea segura y utilizar una herramienta de comunicación empresarial avanzada como Microsoft Teams.
  6. Es un buen momento para pensar con las contraseñas que utilizas. Hacerlas más complejas, que deban modificar con más frecuencia.
  7. Usar la autentificación multifactor (MFA) es un sistema de seguridad que requiere más de un modo de autentificación para asegurar que personas ajenas tengan acceso.
  8. Poner permisos de acceso a las carpetas compartidas de nuestros sistemas. El usuario debe acceder sólo a los datos que realmente necesita acceder por sus tareas en la empresa.
  9. Tener los PCs actualizados y en la última versión disponible. Si vemos el aviso de Windows Update que hay una actualización para instalar, instale la!
  10. Si ves algún comportamiento extraño a tus dispositivos notifica inmediatamente a tu departamento IT para que puedan investigar que esta pasando y así evitar daños.

Esperamos que os sean de ayuda estos consejos y los ayuden a mejorar. Si desea información póngase en contacto con nosotros:

 

Quieres más información de com mejorar la seguridad de tu empresa?

 

ens-iso27001-infordisa

Recientemente el BOE ha publicado el RD 43/2021 de seguridad de las redes y sistemas de información indicando así a las empresas esenciales la obligatoriedad de tener un Responsable de la Seguridad de la Información (RSI), también conocida como Chief Information Security Office (CISO), como la persona experta en la protección de los sistemas de información de las empresas, tendrá las competencias para elaborar y supervisar las políticas de seguridad y las medidas técnicas y organizativas a implantar en la organización.

Así pues, las empresas esenciales deben implementar un Sistema de Gestión de la Seguridad de la Información (SGSI) y es el Responsable de la Seguridad de la Información el encargado de operarlo y gestionarlo.

Actualmente existen diferentes normativas o marcos reconocidos que regulan un SGSI, como es la ISO / IEC 27001 o el Esquema Nacional de Seguridad (ENS) en el que certifican estas políticas y medidas técnicas y organizativas.

Para que haya una implantación de un SGSI garantizando la seguridad de la información de nuestros datos recomendamos:

  • Sponsors internos: es importante el apoyo total de la junta directiva que impulse todas las políticas y normas que deberán aplicarse, y sobre todo los costes que puede implicar aventurarse en un proyecto como este.
  • ¿A quién involucramos en el Comité de Seguridad TIC? Cómo será el encargado de tomar las decisiones trascendentales en materia de seguridad a la organización que afectarán a todo el organismo, es recomendable que sea un comité interdisciplinario con las diferentes áreas responsables de área haciendo énfasis con los departamentos legales, financieros, operación / producción, RRHH, seguridad física y obviamente, Informática.
  • Elaborar una política de seguridad y normas de seguridad que sean personalizadas a la organización:
    • Seguridad por Defecto: Los sistemas se configurarán para proporcionar las funcionalidades mínimas requeridas para qué la persona y la organización alcancen sus objetivos.
    • Zero Trust o Confianza cero: Todo elemento del sistema que no haya sido configurado y esté configurado para nosotros, deberá ser tratado como una amenaza.
    • Mínimos privilegios: los usuarios y sistemas dispondrán de los mínimos privilegios y accesos para la operativa diaria, y se implementarán los procesos de autorización necesarios para tareas fuera de los habituales.
  • GAP Analisys, análisis de insuficiencias iniciales, tenemos que ser muy objetivos en este punto para evitar desviaciones y posibles sobrecostes. Con este análisis tendremos una serie tareas y proyectos a implementar y asignar correctamente a la persona adecuada.
  • Definir una matriz RACI y establecer sesiones de controles trimestrales para el seguimiento de los proyectos identificados.
    Elegir un buen software y metodología de Gestión de Riesgos y formarse muy bien en este, pues la estrategia a elegir para proteger nuestros sistemas, deben estar basadas en los riesgos obtenidos.
  • Seguridad integral a toda la organización: un SGSI se apoya en la comprensión y la aceptación de las diferentes políticas y normas de seguridad por parte de toda la organización y trabajadores. Comunicarlas y hacerlas llegar de la forma adecuada a todos los usuarios será la clave del éxito de este proyecto.
  • Definir un buen calendario de auditorías técnicas y normativas para garantizar que las diferentes medidas y controles que se habrán ido implementando según el Plan, se mantienen y están en el grado de madurez requerido.
A Infordisa disponemos de un departamento especializado en la implementación de Sistemas de Gestión de la Seguridad certificables por la ISO / IEC 21001 y el Esquema Nacional de Seguridad (ENS).

¿Quieres más información de nuestros servicios en ciberseguridad?

 

Calendar

Es imposible garantizar la seguridad total de la información, lo que significa que las empresas deben estar preparadas para reaccionar ante un posible desastre que pueda paralizar a su actividad. Hoy en día, recibir un ataque informático y perder todos los datos es algo común que seguro hemos vivido con mayor o menor proximidad. La información con la que trabajan las empresas es un activo esencial para su negocio, y quedarse sin este activo puede impedir trabajar de manera temporal o permanente.

Ante una eventual pérdida de datos por ataque o por accidente, es necesario que contemplamos los siguientes aspectos que permitirán asegurar la continuidad de nuestra actividad y de la empresa:

Plan de continuidad de negocio

El plan de continuidad de negocio es una recopilación de pautas que indican cómo actuar ante un posible desastre. Este plan se presenta como una política de seguridad que tiene que definir una serie de puntos clave:

  • Identificar los activos críticos. Es necesario que tengamos reconocidos aquellos activos que son condicionantes para la continuidad del negocio. No es igual de crítica la documentación comercial en PDF que la base de datos de nuestro sistema ERP.
  • Definir responsabilidades. Debe quedar muy claro quién debe hacerse cargo de la situación en caso de desastre, por lo tanto es importante marcar roles y responsabilidades de los actores en esta situación.
  • Realizar un análisis de riesgos. Con el fin de clasificar los activos, determinaremos qué dependencias tienen, cuánto tiempo podemos estar sin este activo, y qué tiempo mínimo de recuperación sería aceptable.
  • Definir política de comunicación. Ante un desastre, puede ser muy importante la comunicación a los afectados o a las autoridades pertinentes, por lo tanto hay que definir el mensaje a transmitir y cómo hacerlo.
  • Marcar la periodicidad de revisión. Este plan no puede quedarse obsoleto, de ahí que debe tener una fecha de caducidad que asegure que periódicamente se revisa y se comprueba la validez.
  • Elegir la estrategia de continuidad. ¿Cuál será la estrategia más adecuada para nuestra empresa? Tendremos que valorar si podemos plantear soluciones de backup estándar o habrá que diseñar sistemas Disaster Recovery (DR)

Backup

El backup es un sistema que tiene como objetivo almacenar de toda la información y su histórico, de manera continuada, y ser capaz de poder restaurar en cualquier momento sin afectar a la integridad de los datos. Como sistema puede suponer un tiempo alto de recuperación, pero es imprescindible para recuperar la normalidad.

Siguiendo estrategias como el backup 3-2-1, cualquier empresa puede obtener las máximas garantías con los mínimos recursos. Esta estrategia responde a las siguientes claves:

3: Disponer de 3 copias de cada archivo (el original y dos copias)

2: Utilizar 2 soportes de copias diferente, para plantear diferentes escenarios de desastre

1: Ubicar 1 de las copias fuera del centro principal, para evitar desastres físicos como incendios o inundaciones.

Es un sistema con un coste bajo pero con un tiempo de restauración más alto.

Disaster Recovery (DR)

Un sistema DR o Disaster Recovery va mucho más allá de un sistema de backup. Lo que busca es garantizar los datos y también los procesos, haciéndolos disponibles con una menor ventana temporal.

El sistema Disaster Recovery planifica el sistema necesario para que en un caso de desastre, exista una alternativa disponible de manera inmediata que afecte mucho menos la continuidad del negocio. Permite no depender de tiempo de recuperación o restauración, y propone derivar la actividad a un sistema alternativo que, aunque sea de forma temporal, se presente como sistema principal. De esta manera el tiempo de recuperación del sistema afectado no perjudica la continuidad de la actividad.

Se trata de un sistema con un coste más alto pero con un tiempo de restauración mínimo.

Si quiere valorar cuál es el planteamiento de continuidad de negocio que más se ajusta a sus necesidades, nuestro equipo de profesionales aportará una visión crítica y concluirá la mejor estrategia para su empresa.

entorno-seguro-infordisa

Ya hemos hablado de la concienciación del usuario y como este puede ayudar a prevenir desastres, sin embargo es necesario que a nivel técnico la empresa disponga de las medidas de seguridad oportunas para garantizar un entorno laboral seguro. Estas medidas pasan por la utilización de herramientas de seguridad perimetral que protejan activamente el entorno y red de la empresa.

Definimos como seguridad perimetral todas las herramientas y técnicas de protección informática que tienen el objetivo de convertirse en una línea de defensa de nuestro sistema informático. Estas herramientas no sólo nos protegen de aquellos ataques intencionados que quieren entrar en nuestra infraestructura, sino que también acompañan al usuario para proteger su actividad.

Algunas de las principales herramientas de seguridad perimetral informática son:

Cortafuegos o firewalls

Los cortafuegos son herramientas de seguridad básicas en cualquier entorno empresarial y que mediante una política de accesos determinan qué puede y qué no puede acceder a la red. En términos generales estos dispositivos pueden aplicar medidas:

  • A nivel de red filtrante IP concretas
  • A nivel de pasarela controlando aplicaciones específicas
  • A nivel personal aplicándose a los mismos dispositivos de los usuarios

Detección y prevención de intrusos

Los sistemas de detección (IDS) y prevención (IPS) de intrusos utilizan para monitorizar y controlar los accesos a los equipos de la red de la empresa. Su principal misión es identificar un posible ataque, registrar los eventos, bloquear el ataque y notificar a los administradores o responsables de seguridad.

Se trata de sistemas que continuamente monitorizan el tráfico entrante y lo comparan con bases de datos actualizadas de ataques ya conocidos, con el fin de identificar actividades sospechosas y notificarlo para su eliminación. Son elementos a menudo integrados en los mismos cortafuegos para dotarlos de mejores funcionalidades.

Honeypots

Los honeypots son sistemas de hardware o software pensados ​​como trampas para atraer a los atacantes y poder identificar así su comportamiento. Estos sistemas simulan equipos vulnerables que se exponen sin ningún riesgo para la empresa y recogen información que servirá para prevenir ataques futuros sistemas más importantes.

Estos honeypots han evolucionado mucho en los últimos años y actualmente se implementan en forma de honeynets o redes de honeypots que simulan sistemas completos que permiten recopilar así más y mejor información sobre los ataques.

Control de accesos e identidad

Se trata de productos destinados a dotar a la empresa de mecanismos que permitan gestionar los usuarios y sus datos de identificación, asociar roles, permisos y políticas de seguridad, y controlar así los accesos a los recursos. Es básico disponer de un servidor de dominio que gestione con éxito esta información, pero siempre es interesante complementarlos de más técnicas para aporten gestión de los accesos a la red corporativa por parte de usuarios internos y externos, o herramientas Sign-On que unifiquen los accesos a diferentes sistemas y aplicaciones con un mecanismo de identificación común.