Seguridad Informática: ¿Qué Proteger?



¿Qué Proteger?

Debido al presupuesto, no podemos aplicar todas las medidas de seguridad posibles a todos los equipos de la empresa. Debemos identificar los activos que hay que proteger: qué equipos son más importantes y qué medidas aplicamos en cada uno. Por ejemplo, todos los equipos deben llevar antivirus y firewall; sin embargo, la ocupación del disco duro solo nos preocupará en los servidores, no en los puestos de trabajo. Del mismo modo, el control del software instalado es mucho más exhaustivo en un servidor que en un ordenador personal.

Sin embargo, el mayor activo es la información contenida en los equipos, porque un equipo dañado o perdido se puede volver a comprar y podemos volver a instalar y configurar todas las aplicaciones que tenía. Es caro, pero tenemos el mismo ordenador o mejor; sin embargo, los datos de nuestra empresa son nuestros, nadie nos los puede devolver si se pierden. En este punto nuestra única esperanza son las copias de seguridad y el almacenamiento redundante.

2.1. Equipos

En cuanto a la seguridad física de los equipos:
  • Es fundamental que no se puedan sustraer, ni el equipo entero ni alguna pieza del mismo (principalmente el disco duro, pero también el dispositivo donde se hace la copia de seguridad de ese disco).
  • En el caso de los portátiles no podemos evitar que salgan de la empresa, porque los trabajadores visitan las dependencias del cliente o se llevan trabajo a casa. Pero sí debemos vigilar que esos ordenadores apliquen cifrado en el disco duro y tengan contraseñas actualizadas, sobre todo en los usuarios con perfil de administrador.
  • Es importante que no se puedan introducir nuevos equipos no autorizados. Un hacker no necesita romper la seguridad de un servidor si puede conectar a la red de la empresa un equipo suyo con el software adecuado para realizar el ataque. O si puede introducir un troyano en algún ordenador de un empleado.
  • Aplicaremos mantenimiento preventivo para evitar averías. Por ejemplo, en cada ordenador, una vez al año, abrir la caja para limpiar los disipadores y los ventiladores, porque el polvo acumulado puede anular su función de rebajar la temperatura del sistema.

2.2. Aplicaciones

Los ordenadores de una empresa deben tener las aplicaciones estrictamente necesarias para llevar a cabo el trabajo asignado: ni más ni menos. Menos es evidente porque impediría cumplir la tarea; pero también debemos evitar instalar software extra porque puede tener vulnerabilidades que puedan dañar al sistema completo.

Cuando una empresa adquiere un nuevo equipo, el personal de sistemas procede a maquetarlo: instala las aplicaciones utilizadas en esa empresa, cada una en la versión adecuada para esa empresa, con la configuración particular de esa empresa. Incluso puede llegar a sustituir el sistema operativo que traía el equipo por la versión que se utiliza en la empresa. El objetivo perseguido es múltiple:
  • Ahorrar al usuario la tarea de instalar y configurar cada aplicación (y de paso evitamos darle demasiados privilegios).
  • Asegurar que el software instalado responde a las licencias compradas en la empresa.
  • Homogeneizar el equipamiento, de manera que solo tendremos que enfrentarnos
  • a los problemas en una lista reducida de configuraciones de hardware. La solución encontrada se aplica rápidamente a todos los equipos afectados.


Pero debemos estar preparados porque otras aplicaciones intentarán instalarse:
  • Intencionadamente. El usuario lanza un instalador del programa que ha descargado de Internet o lo trae de casa en un CD/USB.
  • Inocentemente. El usuario entra en una página pirata que hace la descarga sin que lo sepa, o introduce un CD/USB que desconoce que está infectado por un virus.

En ambos casos, el antivirus será una barrera y la ausencia de privilegios de administración también ayudará. Pero conviene aplicar otras medidas para no ponerlos a prueba:
  • A la hora de crear un usuario, evitar que tenga privilegios de administración del sistema. Aunque todavía puede instalar determinadas aplicaciones, solo afectarán a ese usuario, no a todos los de esa máquina.
  • Desactivar el mecanismo de autoarranque de aplicaciones desde CD o USB (en algunas empresas, al maquetar los equipos de usuario, incluso quitan los lectores de CD y desactivan los USB de la máquina).

La primera garantía que debemos tener a la hora de instalar una aplicación es su origen: si ha llegado en un CD del fabricante o si la descargamos de su web, o si está incluida en el mecanismo de actualizaciones automáticas de la versión actual. Si el CD no es original, o si descargamos de la web de otro, debemos desconfiar.

Por ejemplo, en los teléfonos móviles y tabletas la mayoría de las aplicaciones procede de la aplicación oficial del fabricante (Google Play en Android, App Store en iPhone). Utilizamos su opción de búsqueda, miramos que el número de descargas sea elevado y la bajamos. Durante la instalación nos pide permiso para hacer algunas cosas en el equipo, aunque no tiene mucho sentido porque el 99 % de los usuarios no sabe qué le está preguntando y siempre acepta. En el fondo, confiamos en que la aplicación no es peligrosa porque la hemos encontrado en el sitio oficial, donde se supone que la prueban antes de colgarla.

2.3. Datos

Como hemos dicho antes, las máquinas y las aplicaciones se compran; pero los datos de nuestra empresa son exclusivamente suyos. Hay que protegerlos por dos aspectos:
  • Si desaparecen, la empresa no puede funcionar con normalidad.
  • Si llegan a manos de la competencia, la estrategia empresarial y el futuro de la compañía están en riesgo.

Las empresas modernas responden al esquema de «oficina sin papeles»: están informatizados todos los datos que entran, los generados internamente y los que comunicamos al exterior. La infraestructura necesaria es amplia y compleja porque los niveles de seguridad son elevados:
  • Todos los equipos deben estar especialmente protegidos contra software malicioso que pueda robar datos o alterarlos.
  • El almacenamiento debe ser redundante: grabamos el mismo dato en más de un dispositivo. En caso de que ocurra un fallo de hardware en cualquier dispositivo, no hemos perdido la información.
  • El almacenamiento debe ser cifrado. Las empresas manejan información muy sensible, tanto los datos personales de clientes o proveedores como sus propios informes, que pueden ser interesantes para la competencia. Si, por cualquier circunstancia, perdemos un dispositivo de almacenamiento (disco duro, pendrive USB, cinta de backup), los datos que contenga deben ser inútiles para cualquiera que no pueda descifrarlos.

2.4. Comunicaciones

Los datos no suelen estar recluidos siempre en la misma máquina: en muchos casos salen con destino a otro usuario que los necesita. Esa transferencia (correo electrónico, mensajería instantánea, disco en red, servidor web) también hay que protegerla. Debemos utilizar canales cifrados, incluso aunque el fichero de datos que estamos transfiriendo ya esté cifrado (doble cifrado es doble obstáculo para el atacante).

Además de proteger las comunicaciones de datos, también es tarea de la seguridad informática controlar las conexiones a la red de la empresa. Sobre todo con la expansión del teletrabajo, que permite aprovechar Internet para trabajar en la red interna como si estuviéramos sentados en una mesa de la oficina. Ahora las redes de las empresas necesitan estar más abiertas al exterior, luego estarán más expuestas a ataques desde cualquier parte del mundo.

El peligro también está en la propia oficina: no puede ser que cualquier visitante entre en nuestra red con solo conectar su portátil a una toma de la pared o a través del wifi de la sala de espera. Un hacker seguramente no conoce los usuarios y contraseñas de los administradores de cada máquina; pero puede introducir software malicioso que intente adivinarlo, aprovechar vulnerabilidades no resueltas en nuestras aplicaciones para desplegar gusanos que ralenticen el rendimiento de la red, etc.

Un segundo objetivo de la supervisión de las comunicaciones es evitar la llegada de correo no deseado (spam) y publicidad en general. Con ello liberamos parte de la ocupación de la conexión a Internet, reducimos la carga de los servidores de correo (así como la ocupación de disco), nuestros usuarios no sufrirán distracciones y finalmente evitamos ataques camuflados en esos correos.

La tendencia actual en las empresas es migrar sus sistemas a Internet. Es el llamado cloud computing. Las más atrasadas todavía se limitan a disponer del servicio de correo electrónico con su propio dominio (@miempresa.es) y colgar la página web en algún servidor compartido (hosting); pero muchas ya utilizan el almacenamiento en web (por ejemplo, Dropbox y Google Drive para usuarios individuales; S3 de Amazon para empresas) y algunas están desplazando toda su infraestructura informática a servidores virtuales situados en algún punto del planeta con conexión a Internet (de nuevo Amazon con su EC2).

Realmente hace mucho que utilizamos cloud computing: todos los webmail (Gmail, Hotmail, etc.) son servicios de correo electrónico que no están en nuestros ordenadores, sino que nos conectamos a ellos mediante un navegador para enviar, recibir y leer los mensajes, sin importarnos cuántos servidores o equipos de red ha necesitado desplegar esa empresa para que todo funcione con normalidad.

Sea cual sea el grado de adopción de cloud computing en una empresa, la primera premisa debe ser la seguridad en las comunicaciones, porque todos esos servicios están en máquinas remotas a las que llegamos atravesando redes de terceros.

José Almonacid

Contador Auditor Egresado y Titulado de la Escuela de Contadores Auditores de Santiago, Miembro actual del Colegio de Contadores de Chile A.G., Diplomado en Legislación Tributaria en la Universidad Mariano Egaña, Participación en Seminarios de la Reforma Tributaria, Seminario "Nuevos elementos del FUT ejercicios 2015-2016 e Impuesto Único al FUT" y Actualmente, se encuentra enfocado primordialmente en el libre ejercicio de la profesión con énfasis en temas tributarios y contables.