Seguridad “low cost”
Uno de los problemas de la Seguridad de la Información más recurrente en el mundo de la empresa es la falta de presupuesto para la adquisición y mantenimiento de controles técnicos que mitiguen riesgos detectados. Muchas veces ni siquiera se conocen estos riesgos y si se conocen se asumen (“a nosotros no nos pasa nada nunca”) o se reacciona a ellos de forma reactiva (“haz lo que tengas que hacer para que esto no vuelva a pasar”).
Es muy fácil recurrir a los marcos de trabajo clásicos, normativas, Sistemas de Gestión de Seguridad de la Información (SGSI), o simplemente “comprar productos de seguridad” esperando que los problemas se resuelvan “automágicamente” o bien demostrar la diligencia debida (también conocida como “cover your ass”) en caso de incidente (“¡pero si tenemos firewall y antivirus! ¡qué podíamos saber!”).
El mundo de la PYME y la micro-PYME es el gran olvidado. Las amenazas a los que están expuestos son las mismas en principio:
Según datos de INTECO, alrededor del 98% de las empresas pequeñas y medianas usan algún tipo de antivirus, un 72% cortafuegos en el PC, 61% algún tipo de filtro para SPAM, y sólo un 8% usan herramientas de cifrado de disco. Los datos son para 2009, por lo que no están actualizados (aunque dudo mucho que la magnitud de gasto en seguridad de las PYMES sea muy grande estos dos últimos años).
¿Qué se puede hacer? Inspirado por esta presentación de Wendy Nather (“Living Below the Security Poverty Line“), aquí van algunas sugerencias de lo que se puede hacer o bien gratis, o por 2000€.
Gratis (o casi)
Es importante tener en cuenta la diferencia entre PREVENCIÓN y DETECCIÓN. Como dice la presentación de Wendy Nather, se suele recomendar DETECCIÓN porque la PREVENCIÓN termina fallando en algún momento. Pero si quieres algo gratis o por 2000€, lo que puedes conseguir es PREVENCIÓN (que es mejor que no tener nada).
Fuente: alfredoreino
Es muy fácil recurrir a los marcos de trabajo clásicos, normativas, Sistemas de Gestión de Seguridad de la Información (SGSI), o simplemente “comprar productos de seguridad” esperando que los problemas se resuelvan “automágicamente” o bien demostrar la diligencia debida (también conocida como “cover your ass”) en caso de incidente (“¡pero si tenemos firewall y antivirus! ¡qué podíamos saber!”).
El mundo de la PYME y la micro-PYME es el gran olvidado. Las amenazas a los que están expuestos son las mismas en principio:
- pérdida de continuidad de negocio por indisponibilidad de infraestructura y/o aplicaciones
- pérdida de continuidad de negocio por pérdida o corrupción de datos
- robo de “propiedad intelectual”, suponiendo pérdida de ventaja competitiva
- sanciones legales por mala gestión (o pérdida de control) sobre datos de carácter personal (LOPD)
Según datos de INTECO, alrededor del 98% de las empresas pequeñas y medianas usan algún tipo de antivirus, un 72% cortafuegos en el PC, 61% algún tipo de filtro para SPAM, y sólo un 8% usan herramientas de cifrado de disco. Los datos son para 2009, por lo que no están actualizados (aunque dudo mucho que la magnitud de gasto en seguridad de las PYMES sea muy grande estos dos últimos años).
¿Qué se puede hacer? Inspirado por esta presentación de Wendy Nather (“Living Below the Security Poverty Line“), aquí van algunas sugerencias de lo que se puede hacer o bien gratis, o por 2000€.
Gratis (o casi)
- Cambiar contraseñas por defecto en routers, switches, puntos de acceso WiFi, etc.
- Configurar autenticación segura en el punto de acceso o router wireless (¡WPA, no WEP!)
- Habilita Windows Firewall en todos los puestos de trabajo.
- Configurar puestos de trabajo y servidores Windows para que se actualicen automáticamente (¡sin excusas!)
- Utilizar TrueCrypt para cifrar datos o disco completo en portátiles.
- Usar productos antivirus gratuitos como AVG, Comodo, avast!, etc. (pero cuidado con los “falsos antivirus”, mejor usar uno recomendado y conocido)
- Leer la norma PCI y comprueba si te aplica (si cobras con tarjeta de crédito o débito, seguro que sí)
- Solución de navegación web segura (filtrado URLs y antivirus/antispyware) basado en “cloud” para 40-50 usuarios.
- Solución de correo electrónico seguro (anti-SPAM y anttivirus) basado en “cloud” para 75-100 usuarios.
- Producto de “endpoint protection” (antivirus, antispyware, detección de ataques, firewall personal) para unos 75 usuarios.
- Herramienta de escaneo de vulnerabilidades (2 años de actualizaciones).
- Servicio de consultoría (3 o 4 jornadas) para ayudar con normativas PCI o LOPD.
Es importante tener en cuenta la diferencia entre PREVENCIÓN y DETECCIÓN. Como dice la presentación de Wendy Nather, se suele recomendar DETECCIÓN porque la PREVENCIÓN termina fallando en algún momento. Pero si quieres algo gratis o por 2000€, lo que puedes conseguir es PREVENCIÓN (que es mejor que no tener nada).
Fuente: alfredoreino
Muy buen post
ResponderBorrar