Durante las últimas décadas la seguridad informática ha jugado un papel fundamental en la productividad de nuestras organizaciones, manteniendo la información de los usuarios alejada de los hackers y programas maliciosos.
En nuestro día a día en Esystems, hemos visto paradójicamente que las pequeñas empresas y las pymes, al contrario de las grandes empresas, son escépticas frente a la protección de la información; escudándose en la premisa de que son empresas pequeñas, por lo que su información no es valiosa para un atacante, desconociendo así que los hackers no miran el tamaño de las empresas, si no los vulnerables o desprotegidas que estén. Es por ello que las pymes se vuelven un blanco perfecto para este tipo de prácticas.
Este artículo creado por nuestros especialistas y enfocado a las pymes, te permitirá definir el estado de la seguridad informática de tu empresa, igualmente aplicable a cualquier organización. Al final encontrarás instrucciones que puedas calificar y puntuar el estado actual de la seguridad en tu empresa.
1. Antivirus Corporativo
Aunque para muchos parece lógico este primer punto, muchas empresas carecen de un antivirus adecuado, tienen la premisa mal concebida de que tienen un antivirus “gratis” y así se lo instalan sus asesores técnicos. Aunque sí existen versiones de antivirus Gratis, al leer el acuerdo de licencia de estos antivirus, se puede ver que es gratis para uso personal y académico, nunca uso empresarial. Adicionalmente, estos antivirus carecen de una consola que los administre, característica muy importante al momento de tener un antivirus en la empresa. Dentro de las Marcas que recomendamos esta Sophos Endpoint y Kaspersky Endpoint Security.
2. Firewall Perimetral
Todas las empresas poseen una conexión a internet la cual llega a través de su ISP, dicho servicio debería ir conectado a un dispositivo Firewall que controla el tráfico que entra y sale de la empresa. Este dispositivo protege el internet de atacantes externos, también permite controlar la utilización que los usuarios le dan al internet, optimizando de esta manera el ancho de banda contratado. En algunos casos el personal técnico coloca un enrutador para cumplir esta función; aunque es mejor que nada, un router no cumple los mismos parámetros de seguridad que un firewall, por lo que no llega a ser una protección adecuada.
Aunque existen muchas marcas en el mercado nosotros recomendamos para las pymes Firewall Sophos o Firewall Fortinet.
3. Software Licenciado
Uno de los errores más grandes que cometen las pequeñas empresas y las pymes es tener software pirata, no solamente por el tema económico y de “ahorrarse” la licencia, sino porque a través de este se abre la puerta para que software malicioso se instale paralelamente. Esto debido a que el sistema que burla u omite la licencia es manipulado por terceros, abriendo “backdoors” o puertas traseras por las cuales los atacantes pueden tomar control de una red o de un servidor. Aquí si aplica que lo barato sale caro. Así que procura tener TODO el software de tu negocio licenciado, es un ahorro en la estabilidad y seguridad de la compañía.
4. Mantenimiento preventivo periódico
El mantenimiento preventivo es uno de los aspectos más importantes en la estabilidad y seguridad informática de una empresa, dado que los sistemas se van deteriorando, van acumulando basura, archivos temporales y software malicioso. El mantenimiento preventivo a los computadores, a los servidores y a toda la infraestructura informática, se convierte en una herramienta que deja los computadores y servidores libres de este tipo de basura.
Adicionalmente, un buen mantenimiento preventivo asegura que el rendimiento de sus equipos aumente, por lo tanto, aumentando la productividad.
Siempre nos preguntan cada cuánto hacer mantenimiento preventivo a las computadoras y mantenimiento preventivo a los servidores. Aunque la respuesta depende de muchas variables, si nos atrevemos a decir que una empresa debe realizar por lo menos dos veces por año un mantenimiento preventivo a toda su infraestructura informática.
5. Usuarios básicos en los computadores
Un aspecto superimportante para tener una red segura es el tema de los usuarios creados en los computadores. Resulta que cuando un virus o software malicioso ingresa a un sistema, dependiendo del origen, el malware va a tomar los permisos que se tenga en el computador y en la red; así que si se tienen privilegios de administrador o de superusuario el software va a tomar estos mismos permisos.
Si se tienen permisos básicos, el malware va a tener esos mismos permisos y por lo tanto su alcance será limitado. Así que la recomendación es que SIEMPRE se trabaje con el usuario con los mínimos privilegios, no con permisos administrativos. Y como vamos a ver en el siguiente tip, lo mejor es tener un servidor que administre todos los permisos en la red.
6. Servidor Principal Dedicado
Se definen un servidor dentro de la organización como un equipo principal con características especiales en Hardware, sistema operativo y software. Así entonces, los servidores se pueden tener dentro de la organización (On-premise) o por fuera de ella (en la nube o Cloud). Muchas empresas creen que tener un servidor en la empresa aplica solo para empresas grandes o multinacionales y no saben lo equivocadas que están. Se recomienda tener un servidor en el momento en que en la organización ya cuenta con más de 5 computadores lque comparten recursos o información.
El servidor cumple muchos roles y dependiendo de esto se pueden tener varios servidores en la organización, lo importante es tener bien dimensionada la arquitectura de la red y tener todo centralizado en este servidor. Una mala práctica es tener la información regada o fragmentada en los diferentes computadores de la organización, ya que eso aumenta el riesgo de pérdida de la misma.
7. Dominio de Windows
Este es uno de los puntos de debate del personal técnico y de soporte en una organización, omiten este punto por desconocimiento, porque es un servicio que requiere tiempo para su instalación y afinación, pues tiene un gran impacto al momento de habilitarlo en la red. Para resumir, el dominio de Windows (el cual es distinto al dominio de internet) es un servicio que se apoya en los servicios de Directorio Activo de Windows Server, esta característica “básica” impacta fuertemente la seguridad de la red.
Lo poderoso de esta configuración es que centraliza en el Directorio Activo la base de datos de usuarios de la red. Los computadores y demás servidores se unen al servidor principal mediante este servicio, lo que potencializa la administración de los recursos y la seguridad de la red, aumentando el nivel de control de la misma.
Una pregunte frecuente que surge es ¿a partir de cuantos computadores en la red se debe instalar un controlador de dominio?, la respuesta es: Microsoft recomienda que sea desde 10 computadores en la red, pero mi recomendación es que a partir del momento en que se cree una red se debe hacer uso de este servicio. Nos hemos encontrado escenarios de 300 – 500 computadores sin un controlador de dominio en su red; en los cuales se posterga la instalación de esta funcionalidad por el impacto que le genera a la operación, sacrificado mucho en administración y seguridad.
Te recomendamos que si tienes una red, configura este servicio desde el inicio, evitando dolores de cabeza más adelante.
8. Gobernanza de las Contraseñas
Es muy normal que en las empresas pequeñas las contraseñas están regadas o fragmentadas en varias personas y no solamente las contraseñas personales, sino también las contraseñas que impactan el negocio. El personal de sistemas gestiona unas, el financiero que posee las tarjetas de crédito autoriza para compras tiene otras, la de contabilidad tiene otras y así sucesivamente.
El problema es cuando una de estas personas sale de la compañía, la cantidad de tiempo y recursos que hay que invertir en recuperar las contraseñas es muy grande, con la agravante que hay veces que no se recuperan, generando sobrecostes, pérdidas de información o en algunos casos he visto empresas que les toca cambiar el dominio de su página web y de sus correos, porque la persona que los gestionó ya no existe (Curiosamente) o porque no los quiere devolver.
Las principales contraseñas que debería tener en el radar un gerente o administrador de un negocio son:
a. Contraseña del dominio de su negocio.
b. Contraseña del hosting contratado para la página Web.
c. Contraseña del administrador de la red.
d. Contraseña del Firewall de red.
e. Contraseña(s) de los dispositivos AP que proveen el wifi.
f. Contraseña del portal de administración del Antivirus.
g. Contraseña administradora del correo electrónico.
h. Contraseñas de usuarios principales de ERP – CRM
i. Contraseña de DVR de las cámaras de seguridad
j. Cientos de contraseñas más
Estas contraseñas deben ser almacenadas en una base de datos centralizada, NO un archivo de Excel con contraseña, hoy en día existen soluciones de administración de contraseñas muy prácticas, tales como KeePass, 1Password, LastPass entre otras. Es de vital importancia tener gestionadas las contraseñas por un programa de estos.
9. Copia de seguridad o backup de la información
En este punto si se rajan muchas empresas, paradójicamente los gerentes o administradores de empresas pequeñas o pymes “suponen” siempre que el de sistemas está haciendo la copia de seguridad de la información y pocas veces auditan que este proceso se está ejecutando bien.
Muchas veces suponen erróneamente que las empresas que les prestan servicio técnico ya tiene incluido el servicio de copia de seguridad, esto hay que dejarlo claro desde el contrato de soporte inicial, así como las responsabilidades, el alcance del servicio, la custodia de la información.
También es muy común que creemos que tenemos toda la información de la empresa respalda, pero muchas veces los usuarios están guardando la información de manera local y no queda en la estrategia de backup de la compañía. Hemos visto de computadores portátiles que se los roban a los empleados de una empresa y esa información no quedaba en el backup, perdiéndose información muy importante para la empresa sin posibilidades de recuperación.
Existen muchos programas para facilitar las copias de seguridad, nosotros descartamos los que supuestamente son gratis porque por lo general presentan muchas fallas, recomendamos especialmente ARCServe, Acronis y Azure Backup.
10. Correo electrónico seguro – No gratis
El correo electrónico es el medio de comunicación principal en las empresas, nos volvimos demasiado dependiente de este, paradójicamente resulta que algunas empresas dedican pocos recursos a este servicio, ya que tienen el paradigma erróneo de que el correo electrónico es un servicio gratis, dado que en algunos servicios de hosting de páginas web el servicio electrónico lo dan como un val agregado; sin embargo, estos servicios son los que más problemas tienen, pues al ser gratis, muchos usuarios van por el mismo canal (dirección IP), por lo que los servicios antispam los clasifica mal de forma errónea, generando problemas de envío y recepción de correo. Lo ideal es que las. Compañías usen servicios de correo robustos, tales como Microsoft 365 o G Suite de Google, ya que actualmente son los mejores proveedores de servicio de correo.
Califica tu empresa
Revise cuáles de los servicios resumidos en este artículo usted tiene en su empresa y califíquese de la siguiente manera:
1 – 5: Su empresa necesita urgente un diagnóstico de seguridad informática, tiene demasiados puntos débiles y tienen riesgo de ser atacado con posibilidades altas de perder información.
6 – 8: La seguridad informática va por buen camino, trate de reforzar los puntos débiles, ya que estos serán los puntos de entrada de un atacante a su organización.
9 – 10: Te recomendamos que por lo menos cada seis meses revises este test, una buena auditoria hace más fuerte tu seguridad informática.
