Tarsis.net — Agencia Web y Marketing Digital — Tel: (+34) 911 413 259 EU

ALERTA COVID-19: Asesoramiento gratuito sobre digitalización
Tarsis.net › Agencia Web y Marketing Digital

Entradas etiquetadas ‘seguridad’

El administrador de una intranet

Tarsis.net

La tecnología actual nos permite teletrabajar e interactuar con nuestros compañeros en cualquier lugar, en cualquier momento y con cualquier dispositivo, pero en las herramientas empresariales de colaboración no se trata sólo del factor tecnológico. Para que todo funcione la pieza clave es el administrador de la intranet.

Todo sistema necesita administración

Si hablamos sólo desde el punto de vista práctico debería resultar evidente que si ponemos un sistema en marcha y lo abandonamos a su suerte es sólo cuestión de tiempo que algo vaya mal: Hackeo, ausencia de backup, cuentas de usuario abandonadas, contenidos con accesos más laxos de lo conveniente o cualquier otro de los mil avatares que puede sufrir un sistema.

No son incidencias hipotéticas. Estos problemas son el día a día de cualquier sistema poblado de usuarios y sus interacciones. Tarde o temprano estos casos se producirán.

Pero si no nos quedamos sólo en el ámbito práctico, sino que realmente entendemos que nuestra organización necesita una herramienta de colaboración y que esa herramienta tiene como misión conseguir un trabajo más inteligente, coordinado y satisfactorio de nuestros empleados, entonces necesitamos alguien que actúe no sólo como mantenedor de una infraestructura técnica, sino también que ejerza de relaciones públicas de la misma desde arriba hasta abajo. De hecho se trataría de alguien que utilizase el ahora tan manido término “experiencia de cliente” (Customer experience, CX), pero dirigiendo su foco hacia los usuarios internos.

No es un problema exclusivo de las intranets. Muchos sistemas estratégicos dentro de una organización, como los CRM o ERP, en los que trabajan conjuntamente empleados de diferentes departamentos y cargos, presentan el mismo problema: Una elevada tasa de fracaso en la implantación, incluyendo resultados prácticos lejos de los esperados, burocratización de los procedimientos y creación de silos de información.

¿Cuál es la razón? Dejando a un lado las bondades o flaquezas de uno u otro sistema, uno de los factores más importantes es que el uso de herramientas de software en las que se colabora requiere a menudo un cambio de mentalidad y la adopción de modelos de trabajo y procedimientos muy diferentes de los trabajos individuales aislados. El sistema no funciona simplemente agregando pequeños elementos aportados por trabajadores individuales, sino que hay dinámicas de grupo, horizontales, verticales y transversales, que deben ser tenidas en cuenta para que el sistema funcione, y si no se tienen en cuenta tienes todas las papeletas para que tu sistema sea un fracaso.

Una de las tareas más importantes de un administrador es buscar e incentivar la motivación de los usuarios para el uso del sistema. Muy pocos usuarios se sienten inclinados a utilizar un nuevo sistema simplemente porque está ahí. Hay que pensar tanto el sistema como sus procedimientos para que haya una razón real para su uso, y entre estos incentivos se encuentran:

  • Llevar a cabo el trabajo actual más fácilmente
  • Llevar a cabo el trabajo actual más agradablemente
  • Poder hacer cosas que antes no se podían hacer
  • Abrir canales de comunicación reales con otros miembros de la organización, que permitan saber más sobre la organización y las personas que trabajan en ella

Cualidades de un administrador

Las intranet suelen ser proyectos que se establecen de arriba a abajo: Un directivo de la empresa inicia el proceso o es encargado de que aparezca un nuevo sistema que habilite nuevas capacidades y modos de trabajo.

Teóricamente todos los miembros de la empresa van a estar afectados en su trabajo por este nuevo sistema y, en el centro de todo ello, está la persona que debe encargarse de «vender» el sistema a sus usuarios a la vez que se ocupa de que éste funcione óptimamente. Visto así parece evidente que se trata de un puesto con responsabilidades que deben estar respaldadas con capacidades, que serán fundamentalmente de dos tipos: Técnicas y comunicativas.

Técnicas

Una intranet no es sólo un sistema, pero sí es un sistema, así que no cabe duda de que se requieren competencias técnicas para que todo funcione bien y siga haciéndolo sosteniblemente. Algunas de las cualidades de este tipo que se requieren son:

  • Tiene que tener conocimientos y experiencia en el alojamiento de sitios web, su configuración y optimización.
  • También en la herramienta de publicación de contenidos (software intranet) que se vaya a utilizar, así como en las herramientas complementarias que requiera el proyecto.
  • Necesita tener conocimientos por encima de la media de usuarios respecto a cuáles son las amenazas a la seguridad, disponibilidad y privacidad de una intranet y cómo combatirlas.
  • Tiene que trabajar en base a procedimientos, que pueden afectarle sólo a él/ella, o a todos los usuarios de la intranet, y que deben ser establecidos de una forma sistemática y no arbitraria. Debe ser el responsable de crear esos procedimientos y llevarlos a efecto.
  • Debe ser capaz de analizar el uso del sistema de forma continuada y sacar conclusiones que redunden en una mejora permanente del mismo.

De comunicación

Y, acompañando al lado técnico, está el lado humano del sistema, que debe ser también cultivado para que sea un éxito. Un administrador debe tener una buena naturaleza comunicadora para ofrecer incentivos a los usuarios para que participen en su uso hasta verla como una herramienta imprescindible en el día a día.

  • Debe conocer en profundidad los diferentes usos que se puede dar a las herramientas de la intranet, e informarse de cómo sus usuarios utilizan esas herramientas — porque nadie es capaz de imaginar por adelantado todos los usos que hacen los usuarios.
  • Tiene que tener una importante faceta didáctica, aconsejando a los usuarios cómo pueden resolver problemas del día a día con el sistema y cómo mejorar su forma de trabajar. Particularmente, debe crear documentación de uso de la intranet para los nuevos usuarios que se incorporan a la empresa.
  • Tiene que publicar contenidos de interés para todos los usuarios y/o grupos de usuarios concretos, de forma que la intranet cumpla en un sentido general con su carácter de medio de comunicación interno.
  • Tiene que informar a los usuarios de que existen procedimientos internos de uso de la intranet y que todos los usuarios están sometidos a ellos, y tener paciencia y mano izquierda cuando esos procedimientos no se respetan y hay que poner orden, lo que se conoce como gobernanza de la intranet.
  • Tiene que responder a las preguntas y resolver los problemas del uso cotidiano de la herramienta, siempre con su mejor cara.
  • Debe ser capaz de recoger ideas y sugerencias de los usuarios para el desarrollo futuro de la intranet. Los usuarios pueden ser una fuente inestimable de innovación en los sistemas si se les presta atención y se reflexiona sobre sus ideas.
  • Tiene que ser capaz de informar a la dirección sobre el uso, el rendimiento, los problemas, las carencias y las posibilidades de desarrollo del sistema, y encabezar la campaña para que la intranet se desarrolle de una forma productiva, tanto para la empresa como para los usuarios.

Como puede verse, el papel de un administrador de intranet implica muchas facetas y responsabilidades que no pueden pasarse por alto, porque el funcionamiento de esta herramienta afecta al trabajo diario de todos los empleados de la empresa.

PODEMOS AYUDARLE

Somos una agencia Internet especializada en PYMEs. Si su empresa puede beneficiarse con la creación de una presencia web profesional, una intranet/extranet corporativa, herramientas de colaboración empresarial, marketing de contenidos (inbound marketing) o integración de tecnologías de terceros, contacte con nosotros y estudiaremos su caso, sin compromiso.

Publicado en: Empresa Miscelánea Tecnología Web

Etiquetas:

Si su sitio web WordPress ha sido ya comprometido

Tarsis.net

Una de las peores pesadillas del administrador de un sitio web es encontrárselo modificado por alguien no identificado (defaced) y/o no poder acceder a él debido a que ha sido asaltado con éxito. Llegados a este punto, ¿qué podemos hacer?

Foto de freestocks en Unsplash

¿Su WordPress tiene problemas? Infórmese de nuestro servicio de administración de WordPress. Disfrute de una instalación de WordPress actualizada, optimizada y segura.

Si ha seguido los consejos de nuestra anterior entrada, usted no tendrá, afortunadamente, que hacer uso de los puntos que vienen a continuación, pero si no ha sido así y su sitio ha sido comprometido, es el momento de tomar algunas medidas drásticas post-ataque:

  • Deshabilite el acceso al sitio web desde cualquier dirección IP que no sea la suya. Incluso si el sitio web deja de estar accesible, es mejor a que esté mostrando información incorrecta y perjudicando la imagen de su empresa.
  • Deshabilite todos los usuarios, a excepción del usuario administrativo que utilice y cambie todas las claves por otras nuevas y robustas.
  • Reinstale su versión actual de WordPress y actualícela a la última versión.
  • Hágase con la lista de todos los plugins que están instalados. Deshabilítelos todos y compruébelos uno a uno, para estar seguro de que todos y cada uno de ellos están actualizados y son compatibles con su versión actual de WordPress. No reinstale ningún plugin que no tenga todas las garantías o no sea compatible con la última versión.
  • Instale plugins de seguridad y configúrelos adecuadamente para defender a su sitio de nuevos ataques.
  • Aquí es donde entra la utilidad de haber seguido una buena política de backup. Si la ha seguido usted tendrá todos los datos (base de datos, archivo principal de configuración de WordPress, temas personalizados) para recuperar su instalación. Si no la ha seguido, le espera un calvario de trabajo y frustración, porque habrá perdido no sólo su sitio web, sino todo el trabajo de posicionamiento en buscadores y enlaces externos que haya hecho durante los años que haya estado funcionando su sitio web.
  • Según el grado de compromiso, y si es incapaz de determinar el alcance de este, puede ser mejor comenzar el sitio web de cero, apoyándose parcialmente en contenidos extraídos de su copia de seguridad de la base de datos. Si su sitio web ha estado haciendo un mapa del sitio (sitemap), esta lista de contenidos puede serle útil para restaurar parcial o totalmente su sitio.
  • Una vez que la situación haya vuelto a una normalidad relativa, vuelva a habilitar el acceso público al sitio web.
  • Es evidente que algo ha salido mal, así que tiene que averiguar qué es lo que ha pasado y, a ser posible, cuándo ha pasado, para impedir que vuelva a ocurrirle. No subestime la importancia de este punto o puede ver su sitio de nuevo comprometido en unos pocos días tras haberlo recuperado.
  • Asegúrese de dotarse de las herramientas y procedimientos necesarios para disponer de un sitio web WordPress securizado, que no sea una presa fácil de los amigos de lo ajeno.

Si no se encuentra usted con el ánimo de emprender la recuperación de un sitio web WordPress comprometido, disponemos de un servicio de securización de WordPress que puede serle de utilidad en esta situación. Valoraremos su situación sin compromiso y le haremos una propuesta para reflotarlo.

PODEMOS AYUDARLE

Somos una agencia Internet especializada en PYMEs. Si su empresa puede beneficiarse con la creación de una presencia web profesional, una intranet/extranet corporativa, herramientas de colaboración empresarial, marketing de contenidos (inbound marketing) o integración de tecnologías de terceros, contacte con nosotros y estudiaremos su caso, sin compromiso.

Publicado en: Tecnología Web

Etiquetas:

Securización de WordPress

Tarsis.net

Estadísticamente un 30% de los sitios web activos utilizan WordPress como gestor de contenidos (CMS), pero muy pocos de esos sitios están preparados para resistir unos asaltos que se producen todos los días, la mayor parte de las veces de forma automatizada.

Sitios web bajo asedio
Sitio de Budapest, 1686. Fuente: Wikimedia

Tipos de ataques

La mayor parte de los ataques que sufrirá su sitio web serán automatizados. Estos ataques están siendo permanentemente llevados a cabo por grupos de bots que exploran sin descanso todos los sitios web que pueden detectar en busca de información, tal como qué gestor de contenidos ha servido para crear un sitio, dónde se ubican diferentes servicios que ofrece WordPress (login, XMLRPC, cron) y tratar de evaluar los plugins instalados y sus versiones.

Con esta información otros bots llevarán después a cabo ataques contra dichas instalaciones, apoyándose en las vulnerabilidades públicamente conocidas (y no conocidas, o zero-day) con el objetivo de ganar acceso a la instalación o, en ocasiones, de obstaculizar sus operaciones mediante ataques de denegación de servicio (que pueden haber sido contratados o bien creados simplemente para extorsionar a la organización propietaria del sitio).

Como puede ver se trata de un panorama encantador con el que los administradores de sitios web batallan silenciosamente día tras día. Si es usted el administrador de un sitio web y no está al tanto de esta situación, es porque le falta información sobre lo que ocurre en su infraestructura, ya que la probabilidad de que su sitio web haya sido explorado y posteriormente atacado es del 100%.

Si su sitio web sigue funcionando normalmente es porque su administrador de sistemas está haciendo un buen trabajo, así que aproveche el último viernes de julio (“Día del Administrador de Sistemas”) para reconocer y felicitarle por una labor que hace en beneficio de toda su organización.

¿Su WordPress tiene problemas? Infórmese de nuestro servicio de administración de WordPress. Disfrute de una instalación de WordPress actualizada, optimizada y segura.

Para hacer la situación aún más amena, tendremos también que saber que hay otro tipo de ataques, dirigidos y llevados a cabo manualmente, sobre sitios concretos por personas concretas, que pueden también afectar a nuestros sistemas. Lo que habíamos visto respecto a los ataques automatizados representa una forma de fuerza bruta aplicada a granel sobre cualquier sitio con cualesquiera características.

De lo que hablamos ahora es de ataques quirúrgicos llevados a cabo por personas altamente cualificadas que pueden querer ganar acceso a un sitio web con multitud de posibles objetivos: Ganar acceso en el sitio web a información que no es pública, modificar interesadamente la información publicada en la web de su empresa u obtener una colección de claves encriptadas (hash) que después puedan ser descifradas y probadas en otros servicios de la organización. ¿Se imagina qué ocurriría si la clave del administrador de WordPress de su empresa es la misma que la del administrador de Google Apps/G Suite o de su intranet?

Este tipo de ataques son más profesionales, más interesados y por tanto más peligrosos. Tienen como objetivo las operaciones internas y la imagen pública de una organización. Pueden empezar también con una exploración del sitio web, o incluso con una operación que tenga como blanco una persona concreta (spear phising) con el fin de engañarla y conseguir información explotable.

Los resultados del éxito de uno de estos ataques es mucho más letal que los de los ataques automatizados. Para hacerles frente, además de disponer de las herramientas adecuadas, se necesita formación y unos procedimientos de seguridad consistentes en toda la organización.

Medidas para asegurar una instalación de WordPress

Pero no sucumbamos a la desesperación, porque no todo está perdido. Podemos poner a salvo nuestro sitio web WordPress si establecemos y seguimos técnicas y procedimientos factibles, relativamente sencillos, en la gestión del día a día:

  • En primer lugar, y más importante: Mantenga su instalación actualizada. Esto quiere decir que el núcleo de WordPress, todos los plugins que tenga instalados y los temas tienen que estar actualizados a su última versión, y que son compatibles con la versión actual de WordPress. No se permita trabajar de otra manera, porque de lo contrario es sólo cuestión de tiempo que un atacante localice una grieta de seguridad en su instalación anticuada y la aproveche.
  • Elimine todos los plugins y temas que no utilice. No están haciendo más que ocupar recursos y abrir potenciales agujeros de seguridad.
  • Elimine todos los usuarios que no sean necesarios. No deje abandonadas cuentas de usuario antiguas que, con el tiempo, se puedan convertir en puerta de entrada a su instalación.
  • Siga la buena práctica de establecer contraseñas seguras, no sencillas, ni compartidas con otros sitios web o servicios externos. La comodidad y la seguridad son dos conceptos que en la mayor parte de los casos están reñidos, y ésa es precisamente la razón de ser de los ataques de fuerza bruta para descubrir su clave de acceso. Para algunas instalaciones puede ser viable incluso optar por un doble factor de autenticación (2FA, Two Factor Authentication), que combine un usuario y una clave con el envío de un código temporal o un código QR legible por un teléfono móvil.
  • Mantenga siempre una estricta disciplina de backup. Hay excelentes plugins gratuitos que pueden hacerle la vida más sencilla, más segura y más tranquila.
  • Instale y configure inteligentemente un conjunto adecuado de plugins de seguridad que eviten la mayoría de los ataques y que le mantengan informado de cambios en su instalación.
  • Si su instalación dispone de un firewall o un CDN que usted pueda manejar, establezca reglas adecuadas para limitar el tráfico, especialmente a la parte administrativa de la instalación.
  • En muchas instalaciones puede ser necesario contar con un firewall de aplicación (Web Application Firewall, WAF), que actúa examinando las peticiones enviadas a WordPress y filtrando las que puedan ser potencialmente peligrosas.
  • Planifique el desastre. Póngase siempre en el peor de los casos y esté preparado para que su sitio web sufra un ataque irreversible, incluso si eso nunca llega a ocurrir. En esa circunstancia usted no puede quedarse parado sin saber qué hacer. Necesita haber asumido esa posibilidad, estar listo para reaccionar inmediatamente y restaurar la situación, al menos parcialmente, en pocas horas.

Si usted no tiene el tiempo o el personal que pueda asegurar y gestionar correctamente su sitio web WordPress, nosotros disponemos de un servicio de administración de WordPress que puede ayudarle a eliminar preocupaciones. Valoraremos su situación sin compromiso y le haremos una propuesta para optimizarlo y securizarlo y evitarle problemas en el futuro.

En un próximo artículo explicaremos qué hacer cuando nuestro sitio WordPress ha sido ya comprometido y tenemos que tomar acción para devolver el sitio a la normalidad. No se lo pierda.

PODEMOS AYUDARLE

Somos una agencia Internet especializada en PYMEs. Si su empresa puede beneficiarse con la creación de una presencia web profesional, una intranet/extranet corporativa, herramientas de colaboración empresarial, marketing de contenidos (inbound marketing) o integración de tecnologías de terceros, contacte con nosotros y estudiaremos su caso, sin compromiso.

Publicado en: Tecnología Web

Etiquetas:

Políticas de seguridad para PYMEs

Tarsis.net

Imagen de 🇨🇭 Claudio Schwarz | @purzlbaum en Unsplash

Mucha responsabilidad, pero no está solo

Si es usted responsable de IT y/o de seguridad informática de una PYME, está bajo presión continua debido a los nuevos y crecientes retos de la seguridad informática. Usuarios, dispositivos, sistemas y servicios son un rompecabezas permanente y las consecuencias de no revolverlo de forma correcta pueden afectar a la operatividad de la empresa y a la seguridad y privacidad de los usuarios, de los clientes y de los proveedores.

El primer paso es siempre enumerar los objetivos (estrategia) y el segundo establecer las políticas (táctica) para conseguirlos. Esto debe traducirse en una colección de políticas de empresa respecto a la seguridad y la privacidad en las operaciones del día a día.

Como responsable de este tema, una de sus obligaciones consistirá siempre en divulgar entre los empleados, clientes y proveedores las políticas que deben cumplirse durante las operaciones, y poner esas políticas al alcance de todo el mundo, por ejemplo en la intranet de la empresa o en el proceso de on-boarding por el que pasan los nuevos empleados.

Las PYMEs habitualmente no disponen de recursos infinitos en tiempo y dinero para desarrollar sus propias políticas, cuyo desarrollo puede convertirse en un proyecto largo y tedioso, de esos que nunca se ven completados.

Afortunadamente existen recursos para no tener que empezar desde cero y poder empezar con gran parte del camino andado, y pensando sólo en la adaptación de esas políticas a nuestro caso concreto y a la forma de su puesta en marcha.

Organizaciones especializadas, pertenecientes a administraciones públicas nacionales y europeas, publican políticas, recomendaciones y avisos de seguridad que pueden facilitar en gran medida estas tareas.

INCIBE

El Instituto Nacional de Ciberseguridad es una empresa (no un organismo público), dependiente del Ministerio de Economía y Empresa, que se dedica a recopilar información, investigar, divulgar, formar y asesorar sobre ciberseguridad tanto a empresas como a ciudadanos y a organismos públicos.

Como resultado de sus esfuerzos, Incibe pone a disposición del público una serie de recursos que pueden ser valiosos para mantenerse informado de los últimos riesgos de seguridad, desarrollar políticas de seguridad propias y formarse en temas específicos de la seguridad:

  • Políticas de seguridad para PYMEs, donde se encuentran documentos orientados a distintos perfiles de persona (empresario, técnico, empleado) para cubrir los temas más importantes de la seguridad (legales, almacenamiento de datos, planes de contingencia, etc. Este recurso será útil a quienes deseen informarse y profundizar en temas básicos de la seguridad de la información.
  • Dentro de la gama de informaciones que Incibe divulga regularmente podemos mencionar su Boletín, un Blog, sus Avisos de Seguridad y un CERT (Computer Emergency Response Team), que dispone de un sitio web aparte, para personas más especializadas y responsables de atajar amenazas.
  • Dentro del campo de la formación, Incibe dispone de Guías, Talleres e Itinerarios formativos sectoriales, con especialización en sectores concretos.
  • Además, este instituto celebra anualmente diversos eventos en los que se dan cita profesionales de la ciberseguridad y en los que uno puede ponerse al día y escuchar de primera mano las experiencias de expertos. Estos eventos son el Encuentro Internacional de Seguridad de la Información (ENISE), el Iberoamerican Cibersecurity Challenge (ICSC), el Cybersecurity Summer BootCamp (CyberSBC), que está especializado en formación, y el Cybercamp.

Como puede verse, existen a nuestra disposición una infinidad de recursos que pueden ser aprovechados por los profesionales que quieran profundizar en el conocimiento y la práctica, y muchos de ellos no requieren moverse de casa.

ENISA

Para aquellos que se sientan cómodos en un ámbito internacional — y se defiendan en inglés, francés, alemán o griego –, la Unión Europea cuenta con una organización similar, de ámbito multinacional, llamada ENISA (European Union Agency for Network and Information Security).

ENISA es una organización plurigubernamental basada en Atenas, que tiene como principal misión desarrollar estrategias y asesorar a los gobiernos de los estados miembros en la creación e implementación de políticas, lo cual puede apreciarse tanto en la naturaleza de la información que genera como en el hecho de estar más orientado a sectores estratégicos que puedan ser considerados objetivos por atacantes externos, como por ejemplo la Industria 4.0 o las infraestructuras energéticas o de comunicaciones.

Pero tiene también una vertiente más vinculada a la práctica y a la publicación de estudios que pueden orientar sobre la importancia relativa de las amenazas presentes y futuras.

Entre los recursos que ENISA pone a nuestra disposición destacaremos:

  • Topics recoge artículos de investigación sobre infraestructuras, servicios de la nube, CERTs, secciones dedicadas a sectores especializados (gobiernos, cuerpos de seguridad), formación, gestión de crisis, Internet de las Cosas (IoT) y muchos otros.
  • Dispone también de una sección de Publicaciones que recoge información sobre multitud de temas, bien organizados, y entre los que cabe destacar los informes anuales que recogen información consolidada sobre incidentes en toda la Unión Europea.
  • Existe también una sección dedicada a inventariar los equipos de respuesta de incidentes de seguridad (CERTs, o CSIRTs en terminología de ENISA) que trabajan en el ámbito de la Unión Europea, y del que ofrecemos como ejemplo la relación de CERTs que trabajan en España.

Otros recursos

Como cierre, ofrecemos aquí algunos recursos valiosos, todos ellos en inglés, que forman parte de una larga tradición de esfuerzo colaborativo para mejorar la seguridad de los servicios en Internet:

  • NIST Cybersecurity Framework. Los americanos, a diferencia de nosotros los europeos, saltan inmediatamente a una aplicación práctica para cualquier descubrimiento o técnica (lo que ellos llaman hands-on). El Instituto Nacional para los Estándares y la Tecnología de los EE.UU (NIST) dispone desde hace cinco años de un amplio marco de seguridad dirigido a sus empresas. Este marco se encuentra traducido al español.
  • El Internet Storm Center (ISC), del Instituto Sans de Tecnología es uno de los más veteranos y experimentados centros de detección temprana y análisis de amenazas. El ISC está operado por voluntarios que se esfuerzan no sólo en despertar alertas, sino también en explicar la naturaleza y el alcance de las amenazas detectadas.

PODEMOS AYUDARLE

Somos una agencia Internet especializada en PYMEs. Si su empresa puede beneficiarse con la creación de una presencia web profesional, una intranet/extranet corporativa, herramientas de colaboración empresarial, marketing de contenidos (inbound marketing) o integración de tecnologías de terceros, contacte con nosotros y estudiaremos su caso, sin compromiso.

Publicado en: Empresa

Etiquetas:

Securización de una intranet

Tarsis.net

Una de las cosas que se aprenden con la experiencia de años de diseñar, poner en marcha, hacer crecer y mantener intranets –o quizá sería más correcto decir herramientas privadas de colaboración empresarial— es que la seguridad debe ser un elemento presente desde el minuto uno. No vale acordarse de ella a posteriori, y no se pueden tomar atajos.

Para el usuario común, que utiliza servicios Internet de diferentes proveedores ya sea a través de su navegador o de aplicaciones móviles, la seguridad es algo que tiene que ver principalmente con cómo utiliza sus claves de acceso y, quizá, con mantener actualizado su sistema operativo y aplicaciones.

El panorama para los que administramos sistemas es muy diferente. Un examen rutinario del tráfico que atrae nuestro sistema revela información interesante –y a veces terrible– sobre el origen e intenciones de los visitantes. Los ataques contra sistemas son una circunstancia permanente, no episodios aislados. Cualquier sistema conectado a Internet es atacado de forma automatizada y de manera frecuente y permanente.

Pero, dejando aparte los numerosos ataques automáticos –generalmente poco sofisticados y dirigidos a sistemas mal configurados y gestionados–, hay también ataques menos frecuentes, más refinados, y que aspiran a ganar un acceso permanente y silencioso a un sistema en producción, a exfiltrar información valiosa y, finalmente, a dañar la reputación de la organización titular del sistema.

¿Tiene que poner en marcha una intranet? Infórmese de nuestro servicio de intranet y extranet. Tenemos dos décadas de experiencia en el desarrollo de herramientas de colaboración para PYMEs.

A nadie se le puede escapar que una intranet, que alberga información interna de una empresa referente a sus operaciones del día a día, pero que también puede alojar información estratégica, datos de clientes, de empleados y de proveedores, es por su propia naturaleza un blanco en el que se posan muchas miradas. Por tanto, la seguridad de la instalación debe formar parte de la misma desde su concepción.

La seguridad de un sistema es un concepto que tiene muchas facetas. Un sistema puede ser atacado de muchas formas distintas, a diferentes niveles de la pila de comunicación (¿alguien se acuerda del Modelo OSI?), y por esa razón las medidas que hay que adoptar tienen que cubrir un amplio espectro de posibles tipos de vulnerabilidad. El funcionamiento del sistema puede ser comprometido desde usando fuerza bruta (p. ej. utilizando un ataque de denegación de servicio, DoS o DDoS), hasta mediante el descubrimiento de una clave de usuario demasiado débil y, entre medias, a través de una miríada de posibles puntos débiles de los que es necesario ser consciente en todo momento.

Sin pretender hacer un recuento exhaustivo, sirvan de referencia diferentes elementos importantes que van a entrar en juego cuando se trata de asegurar una intranet:

  • Sistema operativo, que debe estar siempre actualizado a la última versión estable.
  • Configuración. Configuración correcta del sistema operativo y servicios del servidor.
  • Asignación de recursos. El servidor tiene que estar dimensionado para hacer frente a los picos de demanda de los usuarios de la intranet.
  • Filtrado de tráfico. Elementos de filtrado de tráfico (IP, UDP, ICMP), medidas de mitigación de ataques de denegación de servicio.
  • Orígenes de contenido. Configuración correcta de orígenes de tráfico (Content Security Policy), en el caso de servicios web, para impedir la inyección de código hostil desde orígenes no deseados (XSS, Cross-site scripting).
  • Aplicaciones. Medidas de seguridad de aplicación, que impiden que un usuario, autenticado o no, pueda utilizarla para ejecutar código en el servidor, incluida la posibilidad de exfiltración de datos.
  • Claves. Políticas de claves de usuarios (longitud, composición, periodo de validez). Una medida completamente básica y, sin embargo, ampliamente desatendida. También es importante educar a los usuarios para evitar malas prácticas en la custodia de claves, como por ejemplo apuntarlas en post-it a la vista de todo el mundo o compartir la clave con otra persona. Es necesario también hacerles conscientes de la posibilidad de que sean abordados por alguien malintencionado que practique sobre ellos la ingeniería social, para ganar acceso a sus cuentas (por ejemplo, pero no sólo, mediante la técnica conocida como spear phising).
  • ACL. Mecanismos de control de acceso a los contenidos (ACL, Access Control Lists), que autorizan/niegan acceso a según que parte de la intranet en función de quién sea el usuario y los permisos que tenga.
  • API. Es posible también que, dependiendo de la plataforma que hayamos utilizado como base de nuestra intranet, tengamos también que tomar medidas para asegurar la API (Application Program Interface) con la que están dotadas muchas de ellas.
  • Datos. Seguridad de los datos, que deben ser frecuentemente salvaguardados de una forma completa y segura, para el caso en que se produzca una situación de desastre. Piénsese que el software es reemplazable, pero los datos no lo son.
  • Plan de contingencia. ¿Qué vamos a hacer si el sistema tienen una caída grave? ¿Podremos reemplazar sus subsistemas más prioritarios? ¿Tenemos copia de seguridad de los datos? ¿En cuánto tiempo podemos restaurar el servicio y por qué medios?

A pesar de que siempre hay que tomar estas medidas, nunca tendremos la completa seguridad de que no pueda ocurrir algo: malas prácticas o errores humanos, vulnerabilidades no públicas (zero-day) o errores de hardware son posibilidades siempre presentes, y hay que estar en situación de hacerlas frente, porque el trabajo de una organización depende de ello.

Precisamente por eso la vigilancia permanente de administrador es el colofón a todas las medidas que se adopten. No es suficiente con que las medidas estén implantadas, porque existen situaciones en las que esas medidas van a verse desbordadas. La monitorización de los registros de las diferentes partes del sistema para asegurarnos de que el conjunto está funcionando como debe es siempre imprescindible.

Podemos ayudarle. Si su empresa puede beneficiarse con la creación de una intranet/extranet corporativa, contacte con nosotros y estudiaremos su caso, sin compromiso.

Publicado en: Empresa Tecnología Web

Etiquetas:

¡NO sigas este enlace o serás bloqueado en este sitio!