¿Se ha parado a pensar alguna vez cuánto cuesta la información que maneja en su empresa? ¿Qué ocurriría en caso de un pequeño incendio, una gotera o un ataque de hackers? ¿Se imagina que ocurriría si pierde el acceso a la información? No queremos alarmarle pero es mejor prevenir que… lamentar. En Áudea, Seguridad de la Información, somos expertos legales e informáticos y podemos ayudarle a prevenir.
¿Quiere conocer cómo trabajamos en Áudea, Seguridad de la Información para dar seguridad a su información? Nuestra compañera Llanos Manzanares se lo explica…
———————————————-
¿CÓMO PROTEGER LA INTRANET DE MI EMPRESA?
Una Intranet es una red o un conjunto de redes informáticas interconectadas pertenecientes a una misma institución. Como en todas las redes informáticas, el propósito fundamental de la Intranet es compartir información y recursos entre los distintos usuarios de la misma. Lo que distingue a una Intranet de otros tipos de redes es el protocolo usado para la comunicación entre los ordenadores, que es el TCP/IP, el mismo que se utiliza en Internet. Con lo cual una Intranet puede ser considerada como una Internet a pequeña escala.
Una Intranet permite establecer en el seno de las corporaciones utilidades relacionadas con la documentación sobre la entidad y sus proyectos, los empleados, la formación, los inventarios, etc.; propicia las aplicaciones de trabajo en grupo, los foros de discusión, planes de marketing, gestión de proyectos y actividades de diseño y fabricación; las comunicaciones son bidireccionales, permiten la comunicación entre equipos, entre departamentos, entre sedes instaladas en distintos locales, y, naturalmente, se da también comunicación de puertas afuera (Internet), mejorando las relaciones exteriores, sean nacionales o internacionales.
Los objetivos de la Intranet es conseguir una mejor y más eficiente comunicación y colaboración entre directivos, empleados e incluso, si se desea, colaboradores externos. Por todo ello y teniendo en cuenta la delicada información corporativa que generalmente figura en la Intranet de las empresas, merece especial atención detenerse sobre la seguridad de las mismas.
Cualquier Intranet es vulnerable a los ataques de personas que tengan el propósito de destruir o robar datos empresariales. La naturaleza sin limites de Internet y los protocolos TCP/IP exponen a una empresa a este tipo de ataques. Las Intranets requieren varias medidas de seguridad, incluyendo las combinaciones de hardware y software que proporcionan el control del tráfico; la encriptación y las contraseñas para convalidar usuarios; y las herramientas del software para evitar virus, bloquear sitios indeseables, y controlar el tráfico.
Una Intranet también tiene implicaciones en lo que a protección de datos de carácter personal se refiere, en el 95% de las Intranets analizadas por Áudea, Seguridad de la Información, figuraban los datos personales de toda la plantilla de la empresa, en el 20% de los casos figuraba incluso la fotografía de los empleados, y en el 40% de las empresas analizabas figuraban datos de las personas de contacto de los proveedores y clientes.
La Agencia de Protección de Datos destacó en su memoria del año 2001 algunas de las resoluciones relativas a la actividad de Internet que vulneran principios de privacidad de las personas:
- Divulgación a través de la Red de imágenes personales.
- Infracciones por dejar al descubierto en Internet datos personales.
- Transferencia de información confidencial.
- Retención de datos personales, como puede ser las contraseñas de usuarios.
El principal problema radica en que a pesar de que una Intranet es una red privada a la que tienen acceso grupos bien definidos y limitados, ésta no se encuentra exenta de ataques que pudiesen poner en riesgo la información que maneja, ya que la mayoría de éstos son provocados por sus mismos usuarios.
La mayoría de las estadísticas de seguridad en cómputo indican que cerca del 80% de los fraudes relacionados con las computadoras provienen de los usuarios internos, por esto las intranets son las más vulnerables a ataques de ésta índole.
Las medidas que Áudea, Seguridad de la Información adopta cuando una empresa cliente requiere de sus servicios a este respecto son a grandes rasgos las siguientes:
La creación de unas Políticas de Seguridad a nivel corporativo.
Las Políticas de seguridad son los documentos que describen, principalmente, la forma adecuada de uso de los recursos de un sistema de cómputo, las responsabilidades y derechos tanto de usuarios como administradores, describe lo que se va a proteger y de lo que se esta tratando de protege. Las políticas son parte fundamental de cualquier esquema de seguridad eficiente.
Crear un Control de Acceso
El objetivo de este procedimiento persigue establecer unas normas que regulen la gestión de las contraseñas y los privilegios de acceso a los sistemas de información, aplicaciones y datos de la empresa en cuestión. Varias técnicas de seguridad, incluyendo la encriptación, ayudan a asegurarse de que las contraseñas se mantienen a salvo. También es necesario exigir que las contraseñas se cambien frecuentemente, que no sean adivinadas fácilmente o palabras comunes del diccionario, y que no se revelen simplemente. La autenticación es el paso adicional para verificar que la persona que ofrece la contraseña es la persona autorizada para hacerlo.
Implantar medidas técnicas que eviten la propagación de virus por el sistema informático.
Para proteger la información corporativa delicada, y para asegurar que los piratas no perjudican a los sistemas informáticos y a los datos, la empresa deberá implantar todas las medidas que estén a su alcance como el uso de barreras de seguridad denominadas firewalls que protegen a una Intranet de Internet.
Otra medida técnica de fundamental importancia y quizás sea la más extendida es el uso de programas antivirus, pues bien éstos deberían ejecutarse en los terminales individuales dentro de la Intranet porque es posible que se pueda introducir un virus en la Intranet por disquetes, por ejemplo. Además de la protección contra virus, puede detectar virus y extirpar cualquier virus que encuentre.
Como se puede ver existen varios y diversos métodos para implementar una Intranet segura, pero ninguno por sí sólo puede brindarnos la suficiente seguridad, sino que es la combinación de todos estos elementos junto con una acertada planeación de políticas de seguridad, unos requerimientos específicos y las características propias de la empresa, son los que podrían ayudarnos a definir una eficiente estrategia de seguridad sin que todo esto interrumpa o entorpezca las actividades de los usuarios que son para los que finalmente la Intranet se construyó.