El correcto funcionamiento de los sistemas de una empresa, puede generar la falsa sensación de tranquilidad y confianza de una buena gestión de los activos tecnológicos, pero que los sistemas funcionen no quiere decir que lo hagan de forma segura. Una inadecuada administración de sistemas, puede ocasionar importantes peligros en una infraestructura en la que “todo funcionaba correctamente”. En este artículo, te proponemos el reto de contestar una serie de preguntas, con las que podrás tener una idea general del estado de seguridad de tu infraestructura tecnológica.
CONFIGURACIÓN DE RED
La red suele estar en manos de la empresa externa de turno que ha implantado sus routers, switches y demás elementos, dejando la red lista para su uso pero ¿te has preguntado si esa instalación es segura? te proponemos una serie de preguntas para poder contestarte:
¿La red cuenta con segregación o separación de equipos en función de los departamentos y distintas áreas de la empresa? Todo estamos de acuerdo en que no todos los empleados tienen porque “verse”entre si a nivel de red. La separación de la red en áreas o departamentos es una buena práctica para evitar incidentes de privacidad de la información.
¿El acceso a los elementos de red es seguro? Es sorprendente lo habitual que es que el instalador no se haya preocupado por cambiar los credenciales por defecto de los switches, routers o firewalls, cualquier empleado con un poco de curiosidad podría entrar en estos equipos con los famosos admin/admin, admin/password, etc.
¿Tienes identificados los puntos de acceso a tu red? Un acceso WIFI mal configurado, una toma de red perdida en el edificio o un rack no cerrado con llave pueden ser los puntos de acceso de intrusos a la red coorporativa con un simple portátil y muy malas ideas. Una infraestructura de red funciona correctamente cuando no solo los empleados están conectados sino cuando NADIE externo puede tener acceso a la red.
SERVIDORES FÍSICOS
Cualquier empresa por muy pequeña que sea suele tener su pequeño CPD (o centro de procesado de datos) con algún servidor de dominio, servidor de correo, servidor de copias, carpetas compartidas, etc. Estos equipos deben estar correctamente protegidos ya que conforman el elemento central de la organización.
¿Tus contraseñas son seguras? ¿las almacenas de forma correcta? Sabemos que es difícil aprenderse tantos credenciales de acceso y más cuando el administrador de sistemas le da por ponerte requisitos de contraseña y caducidad haciendo que al final tengas que recurrir a métodos poco seguros como apuntar contraseñas en post-it o libretas, guardarlas en un excel o word. De igual forma podemos hablar de tu administrador de sistemas que suele abarcar gran cantidad de credenciales administrativos y puede que caiga en el mismo error. ¿Sabes que existen alternativas seguras? como los gestores de contraseña que permiten almacenar una gran cantidad de contraseñas simplemente memorizando una única contraseña o las integraciones de aplicaciones de forma que puedas tener un mismo usuario y contraseña para correo, PC, servidor de archivos, etc. El objetivo no es hacerte la vida imposible para acceder a los sistemas sino crear una gestión simple pero segura de tus accesos.
¿Cuentas con una correcta configuración de permisos de acceso? ¿Los empleados acceden únicamente a la información que necesitan?. La correcta configuración de los permisos de acceso en los servidores de carpetas compartidas o servidores de dominio puede evitar fugas e incidentes contra la privacidad de la información. Cuando un empleado no accede al recurso que necesita es el primero en avisar pero ¿avisará cuando acceda a más información de la cuenta?
¿Piensas que este equipamiento es necesario? Soluciones como G Suite, Microsoft Azure o Microsoft Office 365 permiten llevarte la infraestructura de tu empresa a la nube ahorrándote costes de hardware, renovación, mantenimiento y obteniendo ventajas y mejoras a la hora de trabajar en remoto, recuperación ante desastres o trabajo en equipo pudiendo unificar tu entorno de trabajo (ofimática, correo, carpetas compartidas, dominio, etc.) en la nube.
INVENTARIO DE ACTIVOS
¿Sabes cuantos equipos tienes? ¿Cual es el software que tienen instalados los equipos? Además de ser necesario para cumplir el nuevo reglamento de protección de datos Europeo RGPD, tener un inventario de activos actualizado de tu equipamiento hardware y software es fundamental para cualquier empresa ayudando en tareas administrativas de control de actualizaciones, control de software, estadísticas de rendimiento. Existen herramientas gratuitas que permiten realizar un inventario de todos tus activos TI (PCs, monitores, discos duros, impresoras, software, etc.)
AUDITORÍA DE SISTEMAS
Aunque confíes plenamente en cómo están montados tus sistemas, una auditoría de seguridad o hacking ético puede darte alguna sorpresa inesperada de algunas vulnerabilidades que no esperabas que tuvieras. Auditar los sistemas es una buena práctica para cerciorarte que siempre cuentas con las máximas medidas de seguridad posible en tus sistemas que al fin y al cabo son los elementos que sostienen tu empresa.
En tiThink alineamos nuestros servicios de administración de sistemas con las mejores prácticas en ciberseguridad, por eso nuestros consultores de seguridad y administradores de sistemas trabajan codo con codo para ofrecer no un simple servicio de mantenimiento sino un servicio de mantenimiento SEGURO. Si tienes dudas o necesitas ayuda para poder contestar algunas de las preguntas que te proponemos en este artículo, no dudes en contactar con nosotros, estaremos encantados de ayudarte.
Si quieres estar al tanto de las últimas novedades en ciberseguridad, transformación digital y business intelligence, no dudes en suscribirte a nuestro boletín de noticias.