25 - Seguridad para PYMEs - 26/02/2006
Autor: Lic. Cristian F. Borghello
http://www.segu-info.com.ar
Es común escuchar la frase "mi empresa es pequeña, quien va a desear
mi información". Desde el punto de vista de la seguridad, pensar de
este modo es un error ya que, generalmente las PYMES son las que se
encuentran más desprotegidas, y por ende más fácil de vulnerar por
programas dañinos o "curiosos" con conocimientos limitados pero con
malas intenciones.
Los principales motivos que nos lleva a pensar así son:
- la falta de concientización sobre las amenazas existentes.
- una falsa sensación de seguridad que nos hace pensar que nada nos sucederá.
Para desmitificar esta frase podríamos hacernos preguntas muy básicas,
pero ejemplificadoras de porque Ud. no debería "compartir" su
información con terceros.
Los principales motivos que nos lleva a pensar así son:
- Si Ud. no comparte su agenda con nadie ¿por qué haría eso con la
información de su empresa?
- Como Ud bien sabe una ventaja competitiva suele ser el tiempo de
lanzamiento de un producto. Entonces ¿por qué dejaría que terceros
vieran sus planes de negocio para el próximo año?
- Ud. ha pagado por el tiempo de desarrollo de la información con la
que cuenta su organización. Esta información es el conocimiento que
Ud. posee sobre el mercado, sus productos y sus clientes. Entonces, ¿por qué
dejaría que este conocimiento se evapore por acción de un
virus? o ¿por qué dejaría que terceros compartan (roben) esta
información?
Si sus respuestas son algo parecido a "yo no debería hacer
eso" o "no debería dejar que eso suceda", entonces este
artículo es para Ud.
Las pequeñas empresas suelen ser más vulnerables porque supuestamente
no disponen de los recursos para protegerse de forma adecuada contra
los ataques. El objetivo de este artículo es brindar puntos prácticos
y baratos para una protección medianamente buena dejando la mayoría de
los principiantes y ataques automáticos fuera de combate.
Los puntos que siguen no son la panacea de nadie pero todos ellos son
gratuitos (o de costo mínimo) y lo único que se exigirá es una pequeña
inversión de tiempo. Una pequeña inversión de tiempo que le ahorrará
mucho en el futuro.
- Mantenga actualizado el software que utiliza.
Esto suele ser un tarea pesada y repetitiva pero que nos ahorra
grandes dolores de cabeza. Las actualizaciones generalmente son libres
y gratuitas.
- Instale un antivirus en los servidores y estaciones de trabajo.
Actualícelos todos los días. Existen antivirus gratuitos y las
actualizaciones siempre son libres.
- Instale un Firewall de software o hardware.
Al igual que en el punto anterior existen Firewall por software
gratuitos y las actualizaciones de sus reglas siempre son libres. En el caso de que se decida por
Firewall por hardware, el costo es muy
bajo, el mantenimiento casi nulo y la protección que brindan es
superior a la del software. Recomiendo la instalación de ambos, ya que
no se afectará la performance de su infraestructura y se logrará una
mayor protección.
- Configure los permisos necesarios en cada recurso de su red.
Aplique el principio de menor privilegio que dicta que si alguien no
debe acceder a un recurso, entonces no debe acceder.
- Utilice software legal y obténgalo de sitios confiables.
Recuerde que "software legal" no tiene nada que ver con software
conocido y caro, sino que se refiere a la forma de obtenerlo. Existe
mucho software libre y gratuito (software legal por el que no debe
pagar ni burlar su protección) que le ayudarán con sus tareas
habituales. Actualmente casi todas las herramientas pagas tienen su
paralelo en el mundo del software libre.
- Utilice passwords seguras.
La mayoría de los ataques apuntan a obtener su contraseña. Si Ud. no
utiliza contraseñas o pone su nombre como clave de acceso sólo le hace
más fácil el trabajo al atacante.
- No confíe en llamados telefónicos que no pueda identificar
fehacientemente.
No brinde información a terceros. No responda mails de desconocidos.
No haga click en adjuntos que recibe por mail. La Ingeniería Social es
un técnica por la cual personas inescrupulosas obtienen información
engañando a su víctima. Los medios utilizados pueden ser fax, mails o
llamados telefónicos.
Los fines del engaño suelen ser:
- Obtener información como cuentas, passwords, teléfonos, PINs,
tarjetas de crédito, etc. para realizar actos delictivos.
- Lograr que Ud. ejecute el adjunto que le han enviado parainfectarlo con un virus (o troyano o gusano).
- No instale aplicaciones por defecto.
Todas ellas suelen tener mejores prácticas que dan la orientación
necesaria para brindar un mínimo de seguridad.
- La tecnología no lo es todo, por eso tenga en cuenta los
lineamientos y políticas existentes. Suelen ser de fácil lectura y su
aplicación soluciona los grandes problemas de gestión, culpables del
90% de los riesgos existentes.
- Y por último y lo más importante realice copias de seguridad
(backup) de forma automática o manual pero realícelas. Cuando todo
falle será lo único que lo salve.
Estar los 365 días on-line se está volviendo común y en consecuencia
la necesidad de prevenir es fundamental.
Recuerde: ya no deberán ir hasta su oficina para robar la hoja impresa
de su plan de negocio, irán por el cable, la copiarán y Ud. no se
enterará hasta que sea demasiado tarde.
Más información:
Buenos Aires, 26 de febrero de 2006