Soluciones de seguridad para la empresa


Conocer el nivel de seguridad de la organización, es el primer paso antes de diseñar e implantar cualquier medida de seguridad. En la actualidad la seguridad TIC se considera parte integral y necesaria de cualquier empresa u organización, es por ello que muchas empresas están implantando medidas de seguridad con muy diversos objetivos: adecuarse a diversa normativa legal, como la LOPD, implantar un sistema de gestión de la seguridad (SGSI) o proteger los sistemas e infraestructuras de cualquier ataque o amenaza.





Pero independientemente de las razones para mejorar la seguridad, antes de implantar cualquier medida, es fundamental conocer el nivel real de seguridad de la organización, de forma que en base a la información obtenida sea posible diseñar y seleccionar las medidas de seguridad adecuadas, que luego serán implantadas allí donde más se necesitan, o en base a los criterios que se tomen como guía para cada organización y escenario particular.

Para conocer el nivel de seguridad real, uno de los pasos fundamentales, es la realización de una auditoría técnica. Una auditoría técnica es un conjunto de procedimientos y herramientas que un consultor o experto en seguridad combina y aplica allí donde sea necesario para obtener información que le permita conocer el estado o nivel de seguridad de un servicio, sistema o infraestructura.

Las auditorías técnicas hacen referencia a toda la estructura TIC de la organización, y debido a la gran variedad de infraestructuras existentes, la realización de este tipo de auditorías es compleja y requiere de personal muy especializado, aunque en la actualidad el mercado de soluciones de seguridad ofrece multitud de ellas para facilitar la realización de auditorías técnicas.

Existen muchos tipos de auditorías técnicas, tal vez tantos como sistemas e infraestructuras a analizar. A continuación describimos algunos de los tipos de auditorías técnicas:

  • Test de Penetración. Es un tipo de auditoría técnica que consiste en un conjunto de pruebas a las que se somete una aplicación, servicio o sistema, con el objetivo de encontrar huecos o fallos a través de los cuales sea posible conseguir acceso no autorizado evitando así los distintos mecanismos de seguridad.
  • Auditoría de red. Cuando se quiere conocer el estado de la seguridad de la red corporativa se pueden realizar auditorías especializadas en el análisis tanto de la red de comunicaciones, como de los distintos dispositivos conectados a ella. Estas auditorías permiten analizar toda la red en busca de puertos abiertos, recursos compartidos, servicios o electrónica de red, como los routers o los switches, entre otros. Además, en estas auditorías se emplean herramientas que permiten realizar la catalogación de las infraestructuras conectadas a la red o incluso detectar versiones de dispositivos inseguros, versiones de software o la necesidad de instalar actualizaciones o parches.
  • Auditoría de seguridad perimetral. Se trata de un proceso destinado a determinar el nivel de seguridad de las barreras que protegen la red de comunicaciones de una organización de peligros que provienen del exterior y del interior. Podríamos englobarla dentro de la auditoría de red, puesto que está relacionada, aunque está más especializada en detectar fallos de seguridad desde el punto de vista de exterior.
  • Auditoría de software. La auditoría de software es un tipo de inspección que ha cobrando gran importancia. Este tipo de auditoría está destinada al análisis de software, detectando fallos de seguridad o vulnerabilidades en todo tipo de aplicaciones o código en general. En la actualidad, las empresas realizan de forma sistemática este tipo de análisis, aunque en muchas ocasiones los fallos son detectados por terceros.

En la actualidad, gracias a las soluciones que podemos encontrar en el mercado de seguridad TIC, la realización de las auditorías técnicas que se han indicado o de otras, se ha simplificado de forma significativa, pero por lo general sigue siendo necesario que las realice personal especializado, por lo que las empresas y organizaciones recurren habitualmente a empresas que ofrecen este tipo de servicios.

Se recomienda la realización de al menos una auditoría técnica de seguridad al año, de carácter general, con el objetivo de conocer el nivel de seguridad de la organización, detectar fallos de seguridad graves, incumplimientos de las políticas de seguridad o fallos de seguridad que supongan el incumplimiento de normativa de legal, como la LOPD.

Por último, recordar que conocer el nivel real de seguridad de la organización, es el primer paso para decidir dónde y cómo aplicar las medidas de seguridad más adecuadas.

Fuente:
http://cert.inteco.es/



Otras noticias de interés:

La herramienta de seguridad MSRT de Microsoft no puede con Zeus
MSRT, herramienta de eliminación de malware gratuita que Microsoft ofrece para sus sistemas operativos no puede combatir las variantes del troyano Zeus, de acuerdo con la firma de seguridad Trusteer. ...
Revelación de información en Mozilla Firefox
Se ha encontrado una vulnerabilidad en Firefox que puede ser aprovechada por atacantes para revelar información del sistema. ...
IV Foro Mundial de Conocimiento Libre en Maturín - Monagas
El IV Foro Mundial de Conocimiento Libre se realizará del 17 al 21 de Octubre de 2006 en la ciudad de Maturín, en el estado Monagas, en Venezuela. El Foro, que se ha convertido en una referencia regional para la discusión sobre el Conocimiento Lib...
Nuevo virus Chick.D
Panda Software informó la aparición del gusano Chick.D que opera bajo el nombre de The life of Bill Gates y se propaga por correo electrónico y de la aplicación de chat IRC ....
Diez fallas en la Máquina Virtual Java de Microsoft
Estas fallas, afectan incluso las últimas versiones de Windows (XP con SP1) e Internet Explorer 6 (SP1). Cómo vimos en la alerta mencionada antes, estas fallas podrían ser aprovechadas en forma remota para causar algún daño a los equipos vulnera...
Se descubre una nueva vulnerabilidad en Windows 7 y Server 2008 R2
Sólo un día después de que Microsoft emitiera su actualización mensual de seguridad con parches para cubrir una docena de vulnerabilidades de su software, un investigador especializado en seguridad ha descubierto un nuevo fallo. En concreto, en l...
Ordenadores que pueden leer los labios
Un nuevo software de Intel permite a los ordenadores leer los labios de los usuarios, en lo que constituye un gran paso adelante hacia las aplicaciones que podrían desarrollarse mediante el reconocimiento de la voz. ...
Comienza la CyberGuerra - Hackean nueva web marroquí
La web marroquí de Arcnet ha sido alterada por hackers españoles como medida de presión al hacker marroquí BreaKIce. ...
Ejecución de código no corregida por parche MS07-012
Una vulnerabilidad en el componente MFC (Microsoft Foundation Classes) de Microsoft, que permite la ejecución remota de código, podría ser explotada por un usuario malicioso, aún después de la instalación de un parche ya publicado (MS07- ...
¿Está el ciberespionaje detrás del último ataque de día cero a Windows?
ESET ha lanzado una alerta por el aumento de incidentes de seguridad relacionados con la vulnerabilidad de día 0, que afecta a todos los sistemas operativos Windows a partir de Windows XP, y que permite la ejecución del código malicioso simplement...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • empresa
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • soluciones
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra