El Blog de Josep Miró

continuacion de: Agujeros de seguridad en la empresa, los mayores responsables los usuarios (o trabajadores)

4. Destrucción de Información.

Destruir, eliminar o borrar expresamente información, o accidentamente, ocurre cada día en las empresas.

¿a quien no le ha ocurrido que ha modificado un documento y luego no ha podido volver al original por que lo ha sobrescrito y la única copia era que la que existía en nuestro equipo.?

¿quien no ha eliminado o modificado un registro en una base de datos y se ha dado cuenta que no era ese el que quería modificar o eliminar y no hay vuelta atrás?

Aquí la única recomendación pasa por las copias de seguridad, o mejor dicho, por una buena política de copias de seguridad, amen de la correspondiente formación para los administradores (sean informáticos o no), para en caso de desastre saber recuperar esa información.

Hago incapie en esto último porque he visto “copias” por ahí, donde:

• no se copia todo lo que hay que copiar
• no se copian correctamente las bases de datos
• no se copian las bases de datos de usuarios con sus permisos
• no se copian los sistemas de correo electrónico
• no se copian los programas realizados a medida para la empresa con todas las adaptaciones realizadas in-situ, etc, etc…

y lo más grave, cuando pasa algo, por que se ha eliminado accidentalmente, un fallo en el hard, o cualquier incidencia, los administradores de las copias de seguridad no saben restaurar. No os echéis las manos a la cabeza, esto es así, no saben restaurar una base de datos, no saben restaurar un buzón de correo electrónico….etc.

A esto, los gerentes y administradores de las empresas deberían preguntarse:

• ¿estoy preparado para un desastre?
• ¿en cuantas horas podría estar como estaba ayer?
• ¿tengo un plan de contingencia?

luego vienen las lamentaciones….y las cosas pasan, desde un fallo en un disco duro que nos para la empresa, que nos entren a robar y se lleven los servidores, hasta desastres como el Windsor o las Torres Gemelas del WTC de N.Y.

¿Estamos preparados?

foto: http://www.sxc.hu/profile/CraigPJ

Esto del marketing viral es un no parar… no tengo ni idea de que es el libro “Faceboom”, ni quien lo ha escrito ni nada, pero el anuncio de promoción es buenisimo….

Gracias Joan

Una de las ventajas de utilizar un servicio como iGoogle, es el poder seguir mediante entradas RSS todos esos blogs interesantes y que si tuvieras que visitar uno a uno para leer sus “noticias” o entradas, deberias invertir mucho tiempo. Dicho esto, Enrique Dans, menciona una herramienta que puede ser muy valiosa para monitorizar webs, o servicios web, pues te avisa por sms y/o email indicandote que el servidor que le has indicado ha caido.

La herramienta es Pingdom, hay una version “free” que te monitoriza unicamente una web o servidor, pero no voy a ser yo quien os explique como monitorizar mas de una web o servidor por la cara, que somos el pais de los “pillos”.

Indudablemente, si te dedicas a nivel profesional vale la pena pagar por un servicio así, ademas no suelen ser muy caros y por una modica cuota puedes monitorizar debidamente todos tus servidores y servicios.

Como donde tengo alojado este blog, no ha caido nunca o no he sido consciente, voy a utilizar esta cuenta “free” para otro menester, y es el monitorizar mi fonera 2.0, de esta forma, cuando se “cuelge” que es bastante a menudo estaré convenientemente informado y podre reiniciarla en el menor tiempo posible, no como ahora que igual esta un dia o dos “parada”.

Espero os sea igual de interesante este servicio como a mí. He configurado mi dominio ddns de mi fonera y todo ok.

He visto un producto super interesante en ALT1040, de la empresa Tech21.
El producto consiste en un material altamente resistente para la absorción de golpes, ideal para proteger nuestros gadgets tales como un portatil, netbook, Ipod o reproductor de mp3, o nuestro teléfono si es un iPhone.
El material es un compuesto formado por un fluido no newtoniano, esto es, un material elástico que se endurece al ejercer una presión, a mayor presión mayor dureza.
Lo más interesante y para entender mejor la “materia prima”, es observar el siguiente vídeo, donde uno de los integrantes de la compañia Tech21 enseña las propiedades del material, una especie de plastilina o “blandiblú” que golpea duramente contra la mesa con un martillo y como su “colega” introduce el dedo en el material y se deja golpear con el martillo, donde aparentemente no le hace daño.

La demo continua, mostrando el producto acabado, y lanzado un iPhone contra la pared y dejandolo caer al suelo desde una altura considerable.

Las posibilidades, aplicaciones y el futuro del material se me antojan prometedoras, ya bien sean como el desarrollo de fundas protectoras para cualquier gadget, imaginaros un “second skin” para netbooks y portatiles, así como protectores para la practica del deporte (espinelleras, “hueveras”…) como a bien seguro se le pueden encontrar aplicaciones en el sector industrial, sanitario  e incluso en el militar.

Continuación de:  Agujeros de seguridad en la empresa, los mayores responsables los usuarios (o trabajadores)

2-Robo de Información.

Si te quieren robar, te van a robar, te pongas como te pongas, pero al menos ponlo difícil, no dejes las llaves puestas…

Algunos consejos, pueden ser evidentes y más de uno pensará “y el listillo este”, pero os aseguro que las cosas pasan y no pasan más por que la gente es buena.

• Evita el acceso físico a los servidores, no lo dejes en un pasillo donde pasa todo el mundo, déjalo en un despacho a puerta cerrada o en un armario Rack para tal efecto y con llave.
• No apuntes post-it con las contraseñas.
• No dejes contraseñas por defecto en los routers (no querrais saber la cantidad de 1234 que hay por ahí…)
• Las cintas, cd y dvd de las copias de seguridad, llevatelas a tu casa o guárdalas bajo llave (en un armario ignífugo, claro).

Los portátiles, si te lo roban o lo pierdes, ¿que? aparte del disgusto por el equipo, ¿que pasaría con la información?¿tienes copia en la empresa de la información?¿y de los mails?, Si me encuentro tu portatil, aunque no sepa la contraseña de Windows, ¿crees que no tendré acceso a su información?

Los portatiles, hay que encriptar el disco duro, al menos si lo pierdes o te lo roban que no puedan ver lo que hay dentro…

3.Fuga de Información.

Tampoco seria la primera empresa donde un empleado se va, y se lleva información, ya sea esta para uso personal como para utilizarla en su nuevo empleo (probablemente la competencia).

Este punto es más critico, porque lo ideal seria “blindar” la empresa, es decir, que un empleado no pueda “llevarse” información, y es que hoy en día es muy fácil “llevarse” información, desde enviarla por correo a casa, enviarla por ftp a algún servidor, haciendo una copia en un cd/dvd/, con un pen (memoria usb), tarjeta de una cámara, un disco usb, la memoria del teléfono o incluso un Ipod o reproductor mp3…

La solución ideal pasa por dos tipos de medidas:  medidas de acceso telemático y medidas de acceso a hardware.

3.1 Telemáticas:

• Blindar el acceso al exterior, como el envió de correo electrónico a ciertas cuentas personales o tipo gratuito como Hotmail, etc.
• Blindar el acceso al exterior a servicios de alojamiento como megaupload, rapidshare, etc
• Prohibir el acceso al exterior a servicios tipo ftp, servicios remotos, etc.

El handicap, no tan técnico ya que esto con un servidor proxy se puede conseguir, es que hay que estar en permanente evolución y al día de nuevos servidores de alojamiento, nuevos servidores de correo electrónico, etc y es que cada día aparecen cientos de nuevos.

Otra opción es limitar el acceso a internet, pero esto creo iria en contra del beneficio propio de la empresa, ya que es habitual que un empleado requiera acceder a internet para buscar información de los mas variopinta.

La mejor opción sería encriptar toda la información que circula por la empresa, de modo que solo pueda ser “leida” por ordenadores que posean la llave de desecriptación, con esto tendriamos un control bastante real de la información y poca fuga, ya que si alguien se envia un documento a casa, deberia tener el mismo programa de desencriptación que en la oficina. La pega seria el envio de información a posibles clientes, colaboradores, etc pero es facilmente subsanable este punto.

3.2 Hardware:

El objetivo es impedir que un usuario, llega a su mesa y conecte en su equipo, ya sea de sobremesa o portatil, cualquier dispositivo que pueda tener en casa, bien sea una memoria usb, un disco duro externo, una camara de fotos, un Ipod…así como impedir que puedan utilizar la grabadora de cd/dvd’s.

Para ello existe software especifico en el mercado o una solución más económica si utilizamos windows, es aplicar distintas directivas y politicas de seguridad y desplegarlas en la empresa mediante “active directory”.

continuará …

foto: http://www.sxc.hu/profile/walker_M