25 - Seguridad para PYMEs - 26/02/2006


Autor: Lic. Cristian F. Borghello

http://www.segu-info.com.ar

Es común escuchar la frase "mi empresa es pequeña, quien va a desear mi información". Desde el punto de vista de la seguridad, pensar de este modo es un error ya que, generalmente las PYMES son las que se encuentran más desprotegidas, y por ende más fácil de vulnerar por programas dañinos o "curiosos" con conocimientos limitados pero con malas intenciones.

Los principales motivos que nos lleva a pensar así son:

  • la falta de concientización sobre las amenazas existentes.
  • una falsa sensación de seguridad que nos hace pensar que nada nos sucederá.

Para desmitificar esta frase podríamos hacernos preguntas muy básicas, pero ejemplificadoras de porque Ud. no debería "compartir" su información con terceros.

Los principales motivos que nos lleva a pensar así son:

  • Si Ud. no comparte su agenda con nadie ¿por qué haría eso con la información de su empresa?
  • Como Ud bien sabe una ventaja competitiva suele ser el tiempo de lanzamiento de un producto. Entonces ¿por qué dejaría que terceros vieran sus planes de negocio para el próximo año?
  • Ud. ha pagado por el tiempo de desarrollo de la información con la que cuenta su organización. Esta información es el conocimiento que Ud. posee sobre el mercado, sus productos y sus clientes. Entonces, ¿por qué dejaría que este conocimiento se evapore por acción de un virus? o ¿por qué dejaría que terceros compartan (roben) esta información?

Si sus respuestas son algo parecido a "yo no debería hacer eso" o "no debería dejar que eso suceda", entonces este artículo es para Ud.

Las pequeñas empresas suelen ser más vulnerables porque supuestamente no disponen de los recursos para protegerse de forma adecuada contra los ataques. El objetivo de este artículo es brindar puntos prácticos y baratos para una protección medianamente buena dejando la mayoría de los principiantes y ataques automáticos fuera de combate.

Los puntos que siguen no son la panacea de nadie pero todos ellos son gratuitos (o de costo mínimo) y lo único que se exigirá es una pequeña inversión de tiempo. Una pequeña inversión de tiempo que le ahorrará mucho en el futuro.

  1. Mantenga actualizado el software que utiliza. Esto suele ser un tarea pesada y repetitiva pero que nos ahorra grandes dolores de cabeza. Las actualizaciones generalmente son libres y gratuitas.
  2. Instale un antivirus en los servidores y estaciones de trabajo. Actualícelos todos los días. Existen antivirus gratuitos y las actualizaciones siempre son libres.
  3. Instale un Firewall de software o hardware. Al igual que en el punto anterior existen Firewall por software gratuitos y las actualizaciones de sus reglas siempre son libres. En el caso de que se decida por Firewall por hardware, el costo es muy bajo, el mantenimiento casi nulo y la protección que brindan es superior a la del software. Recomiendo la instalación de ambos, ya que no se afectará la performance de su infraestructura y se logrará una mayor protección.
  4. Configure los permisos necesarios en cada recurso de su red. Aplique el principio de menor privilegio que dicta que si alguien no debe acceder a un recurso, entonces no debe acceder.
  5. Utilice software legal y obténgalo de sitios confiables. Recuerde que "software legal" no tiene nada que ver con software conocido y caro, sino que se refiere a la forma de obtenerlo. Existe mucho software libre y gratuito (software legal por el que no debe pagar ni burlar su protección) que le ayudarán con sus tareas habituales. Actualmente casi todas las herramientas pagas tienen su paralelo en el mundo del software libre.
  6. Utilice passwords seguras. La mayoría de los ataques apuntan a obtener su contraseña. Si Ud. no utiliza contraseñas o pone su nombre como clave de acceso sólo le hace más fácil el trabajo al atacante.
  7. No confíe en llamados telefónicos que no pueda identificar fehacientemente. No brinde información a terceros. No responda mails de desconocidos. No haga click en adjuntos que recibe por mail. La Ingeniería Social es un técnica por la cual personas inescrupulosas obtienen información engañando a su víctima. Los medios utilizados pueden ser fax, mails o llamados telefónicos.
    Los fines del engaño suelen ser:

    1. Obtener información como cuentas, passwords, teléfonos, PINs, tarjetas de crédito, etc. para realizar actos delictivos.
    2. Lograr que Ud. ejecute el adjunto que le han enviado parainfectarlo con un virus (o troyano o gusano).
  8. No instale aplicaciones por defecto. Todas ellas suelen tener mejores prácticas que dan la orientación necesaria para brindar un mínimo de seguridad.
  9. La tecnología no lo es todo, por eso tenga en cuenta los lineamientos y políticas existentes. Suelen ser de fácil lectura y su aplicación soluciona los grandes problemas de gestión, culpables del 90% de los riesgos existentes.
  10. Y por último y lo más importante realice copias de seguridad (backup) de forma automática o manual pero realícelas. Cuando todo falle será lo único que lo salve.

Estar los 365 días on-line se está volviendo común y en consecuencia la necesidad de prevenir es fundamental.

Recuerde: ya no deberán ir hasta su oficina para robar la hoja impresa de su plan de negocio, irán por el cable, la copiarán y Ud. no se enterará hasta que sea demasiado tarde.

Más información:

Buenos Aires, 26 de febrero de 2006

Con más de 24 años de experiencia compartiendo la mejor información de Seguridad

Contacto