Uso del Change Manager para Auditoría de Bases de Datos

La auditoría de Bases de Datos es una etapa importantísima del control interno y básica para mantener la seguridad de la información en la empresa.

A continuación voy a explicar parte del proceso más popular de hacerlo y el porqué del mismo.

En la mayoría de las empresas tenemos por lo menos 2 ambientes de base de datos: Desarrollo y Producción (en algunos casos se mantiene un tercer ambiente llamado pruebas).

El ambiente de producción es el ambiente estable y comprobado en el que se basa nuestro sistema y en el que dependemos para nuestras operaciones día a día.

El ambiente de desarrollo es el ambiente donde haremos los cambios que evolucionaran nuestro ambiente de producción.

Cada vez que se decide hacer una serie de cambios al ambiente de producción debido ya sea a nuevos procesos o evolución de funciones, éste debe de hacerse y probarse en el ambiente de desarrollo; una vez probado y refinado se puede considerar la implementación al ambiente de producción.

En los ambientes de bases de datos, tanto como en el ambiente de desarrollo de aplicaciones, no existe una estructura inmaculada y la base de datos puede cambiar varias veces por lo que una cultura de versionamiento es altamente recomendada.

Este proceso hace que la tarea de transformar exactamente la versión del ambiente de desarrollo a producción sea invaluable.

Esta explicación modela la primera circunstancia en la que el Change Manager de Embarcadero demuestra su utilidad para la empresa y para el ahorro de tiempo de los DBA.

El Change Manager compone 5 tareas básicas:

1.       El versionamiento de la configuración del motor de base de datos: ésta tarea nos permitirá guardar un documento con los valores del motor, tamaño de buffer, variables de sistema y demás.

2.       El versionamiento de los esquemas de la base de datos: ésta tarea nos permite respaldar la estructura de las tablas que le permitamos, así como el sql para reconstruirla desde cero.

3.       La comparación de la configuración del motor ya sea entre dos servidores en vivo o con un respaldo hecho con el change manager, lo cual nos permite ver las diferencias asi como el DDL necesario para transformar la versión destino a una copia perfecta de la versión fuente.

4.       La comparación entre esquemas de bases de datos ya sea en vivo o contra un archivo de versión hecho en Change Manager, éste proceso crea un informe de todas las diferencias y la codificación sql para implementar las diferencias e igualar los esquemas.

5.       La comparación de datos entre tablas idénticas en servidores en vivo diferentes, ahora ésta funcionalidad no solo permite la comparación, sino que también permite la sobreescritura de los datos y su enmascaramiento.

El enmascaramiento de los datos es una herramienta moderna para problemas modernos, en una sociedad empresarial con cada vez más costos, el uso de terceros para el desarrollo de nuevos procesos es imperativo, asimismo la protección de los datos, así que aunque nuestros desarrolladores requieren de una carga de datos similar a la de producción no necesariamente significa que le demos los datos exactos de nuestra BD, asi que podemos ocultar los datos que sean críticos de negocio y ofuscar los otros en los que su análisis pueda ser contraproducente, dando así una base de datos de desarrollo la cual sólo representa la cantidad de datos sin mostrar una imagen exacta de los movimientos en producción.

La ingenuidad y utilidad de una herramienta que hace bien su trabajo son las ventajas competitivas que ofrece el Change Manager de Embarcadero y recomiendo efectivamente su prueba para éste tipo de tareas en su empresa.

Ideas para la auditoría de Sistemas

La auditoría de sistemas es un tema que puede llegar a ser complejo en la empresa, como todo tópico tiende a ser abordado desde distintos puntos de vista y no deja de ser válido el aspecto técnico contra el aspecto administrativo.

Desde el aspecto administrativo se esperan tener números que demuestren la efectividad de las reglas tomadas y de los ahorros conseguidos.

El aspecto técnico implica la rapidez de las tareas y los ahorros de tiempo para permitir el hacer otras tareas.

Los gerentes esperan de sus jefes técnicos la generación de simulaciones con lo que costaría en tiempo vs dinero invertido vs posible impacto para asegurar la necesidad de fondos para sus actividades, es parte de su set de conocimientos y necesidades.

Para los Jefes Técnicos es implícita esa necesidad y es difícil el concepto de generar aún mas trabajo para las actividades críticas del negocio.

Los dos lados de la moneda son difíciles de conciliar pero no imposible, varias instituciones han diseñado modelos de gobernabilidad de TI basados en las diferencias de conceptualización, convirtiendo tareas criticas en métricas medibles.

Para una persona técnica a veces es complicado el convertir las posibilidades de desastre en algo cuantificable, tan sólo la pérdida o corrupcion de datos parcial implica una investigación costosa y una posible pérdida monetaria y de confianza.

La comparación de cambios, el seguimiento, la responsabilidad documentada  y una adecuada política de proceso ayuda a reducir la posibilidad de factores impredecibles, por otro lado permite una rápida recuperación ante accidentes.

Es importante para todos los responsables en una empresa  el involucrarse y tratar tanto de comprender a sus colegas como el facilitar la comprensión de sus responsabilidades para mejorar la eficacia de los procesos en la empresa.

Conceptos administrativos de la gestión de seguridad en la empresa

Desde el punto de vista de seguridad de la información hay muchos conceptos que pueden sonar conflictivos y confusos al compararse con sus contrapartes y que dependen del contexto de la arquitectura de servicios implementada.

Una infraestructura bien definida es dividida en capas para controlar el acceso tanto interno a información privilegiada como externo a la red entrante y saliente, esto se hace para delimitar la cantidad de puntos críticos que permitan el acceso. La idea es simple, hay que mantener el servicio sin abrir demasiados nodos, muchas empresas utilizan clusters como gateways de salida para que aunque son reconocidos como un solo servidor en caso de que falle cuenta con un respaldo que tiene su misma configuración.

¿Qué tiene esto que ver con la gestión de la seguridad?

Uno de los aspectos más importantes de la gestión es el llamado “Inventario de activos”, el cual identifica la configuración, nivel de parches, software instalado, función, nombre del nodo y demás detalles relevantes. Este documento es la guía para todo lo que hay que actualizar en la infraestructura tecnológica y es compuesto por varios procesos:

Inventario Físico: es la toma física de recursos, ejemplo: el registro de servidores, monitores y demás activos físicos de la empresa asimismo comprende la configuración de cableado utilizado.

Inventario lógico: es el registro de las funciones de cada nodo y la configuración recomendada así como el nivel de parche recomendado.

Auditoría de vulnerabilidad: se utilizan herramientas de ataque de penetración para comprobar vulnerabilidades conocidas y sus arreglos

¿Por qué agrego la auditoría de vulnerabilidad entre los procesos que componen el Inventario de Activos?

Todos los días se descubren nuevas vulnerabilidades a los sistemas más utilizados comúnmente denominadas como “0-day”, estas vulnerabilidades son publicadas y no se limitan a los sistemas operativos, pueden afectar a gestores de contenido como Joomla y Wordpress, incluso el firmware de ciertos firewalls.

La auditoría de vulnerabilidad es un proceso que debe hacerse periódicamente para evitar que una de estas vulnerabilidades descubiertas sea utilizada por algún operador malicioso y cerrar cualquier agujero.

De identificarse una situación donde un ataque constante o focalizado es importante implementar un protocolo de auditoría de vulnerabilidades enfocándose en las vulnerabilidades atacadas, es importante garantizar la impermeabilidad en contra de éstos ataques y la seguridad de la información de la empresa.

Es extremadamente importante mantenerse al día con la protección que le damos a nuestra empresa y una infraestructura adecuada es la mejor manera de hacerlo de manera eficiente.

Security Culture

A company is a living being and it creates rules for its employees that define its behavior. Companies that want to establish a culture of security must recognize the needs of the people who work in the company and balance the challenges of security checks with the business processes that give a company vitality. Implementing security is not only about the safety of your company, but also about the safety of its employees. A company's safety culture, a set of policies and guidelines that help establish a safety culture in your company.

After the introduction of the security culture, time tends to override it, but it is about demonstrating through workflows how to secure the information associated with it while at the same time defying competition and external threats.

The culture of a company is not the sole property of the security bureau; people are the driving force behind the company that is alive, and planning, management, and motivation relate to people. Successful companies are constantly evolving and the processes, tools and information flows are evolving with them. Security ideas are rarely soft and the security culture sometimes appears rigid and intransigent, depending on the needs set at the time of design, but sometimes it is even more rigid than the software itself. The collective behaviour of each department is guided by a security policy that encourages all members of this team to protect their information.

We are in a war against hackers, fraudsters and information thieves and we must protect ourselves. Security is an armament of accountability and confidentiality, but it should not be seen as an obstacle; it is the protection that soldiers provide.

It is a mistake to believe that security simply means maintaining the status quo of the company, but that it should be used and used to improve business processes. Resentment over the procedures imposed will lead to the proverbial tug of war; staff will rebel against the unnecessary blocking checks they consider unnecessary or inconvenient; they will return to reports containing missing or inaccurate information, where management will make decisions based on the wrong data, the most innovative ideas will be burdened by processes and the process will cause problems. Resistance to change stems from ignorance; security officials and leaders in blue governments, perceived as power-driven and self-determined, enact new rules and procedures, believing that a simple "no" is not an option, while the security department should have found a way to implement the original idea and protect it from kidnapping and theft. If people are convinced that the rules, procedures or instruments you propose are working, they are less likely to engage in what would otherwise be skirmishes, and your company will either be stuck, disadvantaged over its competitors, or the side that will lose the battle. Any plan to implement a good culture must be accompanied by the sound training and motivation behind the plan; employees must all be empowered to draw up and implement safety plans for themselves by bringing their experience into their daily operations.

Some managers still believe they are in the 21st century and do not apply concepts such as "culture," and technical knowledge has not been refined or updated. The Latin American market, which has the greatest security potential in the economy, according to a recent study by the Institute for Critical Infrastructure Technology.

The most common way to prevent security is ignorance, which means relying on information that is volatile, free, or permanent. The perceived value of potential break-ins is less than trying to penetrate the system, and the concept that was absolute yesterday is obsolete today. Virtual security is an elusive concept, but even government departments have taken a more proactive approach to security than their private-sector counterparts in recent years. This is shocking news, because the level of security can only be increased if most people working in public institutions understand all security concepts, including physical security. They are small, poorly connected, companies have very little ability to actively protect themselves against attacks and other viruses, and virtual security and security are elusive concepts.

¿Qué es un modelo de datos?

Un modelo de datos es un mapa, así de simple, un mapa que describe el camino que sigue la información de un punto a otro de un proceso.

En un proceso de negocio se documentan los movimientos de información, servicios, productos y/o dinero, de la correcta ejecución del proceso depende que el negocio opere de manera exitosa, y la mejor manera de controlar esa ejecución es documentar el proceso.

El primer paso de la creación de un proceso es definir cuál es la meta del proceso, ésta definición nos permitirá definir qué información requerimos para cumplirla.

Por ejemplo:

Tenemos una tienda que vende batidos de sabores así que ofrecemos varios sabores y opciones de batidos:

Base:

Agua      $5

Leche    $8

Yogurt   $8

Sabores:

Banana

Melón

Chocolate

Sandía

Limón

Naranja

Dos Sabores       +$2

Tres Sabores      +$3

Ejercicios

¿Cuál sería la meta de un modelo de datos basado en ésta información?

¿Qué información necesitamos para definir el proceso de negocio asociado?

Como ver el valor de una variable en una sentencia SQL ejecutándose en Oracle

Uno de los problemas generalizados en Oracle es el poder ver el valor de una variable incluida en una sentencia ejecutada.

¿a que me refiero con ésto?

En Oracle podemos usar una sentencia de éste tipo:

INSERT INTO emp VALUES
    (:empno, :ename, :job, :sal, :deptno)

donde los valores son incluidos por parámetro en variables, 
en éste caso es fácil de saber cuál valor es cuál cierto?

¿Que tal cuando las variables son incluidas ... así? 

INSERT INTO emp VALUES
    (:E1, :E2, :E3, :E4, :E5)

aunque no lo crea es un formato muy utilizado, 

¿cómo sabría usted cuál variable es cuál?

La manera difícil es generar un sql parecido a éste, por cada variable:

select sesion.sid,
       sesion.serial#,
       sesion.username,
       sesion.sql_id,
       sesion.sql_child_number,
       optimizer_mode,
       hash_value,
       address,
       sql_text
  from v$sqlarea sqlarea, v$session sesion
 where sesion.sql_hash_value = sqlarea.hash_value
   and sesion.sql_address    = sqlare

La manera fácil es con una herramienta de optimización como 
el DBOptimizer de Embarcadero:






Como ven aquí nos muestra todas las variables relacionadas al SQL 

con sólo un click

Solución de Modelado de Datos

Cuánto tiempo de verdad le dedicamos al modelado de nuestro software?

Recuerdo mis clases de "Estructura de Datos" y de UML, en ése tiempo trabajaba como programador y mi jefe me decía que no había tiempo para hacer ésa documentación (utilizaba la metodología de prototipos).

La realidad de ése tiempo es que si querías hacer un proyecto "barato" tenías que tener un producto listo ¡ya!...

¿Qué ha cambiado?

Las empresas que invierten en productos baratos quedan casadas con el programador al igual que uno queda casado con un mecánico barato... " Yo ya le había visto eso de los frenos pero sólo le arreglé la llanta".
La realidad es que la búsqueda de la calidad no es un lujo, es una necesidad, las empresas que creen poder perder clientes, los pierden!, recuperar clientes no es un asunto sencillo y poder crear resultados es un proceso.

¿Qué debemos utilizar para modelar nuestros diagramas?

El modelado del software es un asunto delicado, es un mapa que seguirán nuestros colegas y que de estar incorrecto influirá en la calidad del software y el costo del proyecto.

Se debe escoger una herramienta que permita el crear los diagramas y de ser posible el hacer ingeniería inversa sobre lo que ya tenemos.

Por eso me gusta usar el E/R studio de embarcadero, tiene la facilidad del Erwin con una robustez que no he visto en otros sistemas.

La posibilidad de manejar grupos grandes de diseñadores gracias al CONNECT, de una manera fácil y hasta cierto punto entretenida (se parece un poco a una red social), facilita la comunicación y la creatividad.

Asimismo permite importar modelos hechos en otras herramientas como Erwin y Powerdesigner.

Por favor no duden en enviar sus preguntas a raul.morales.viquez@hotmail.com
o comentar aqui.

Metadatos o ¿Como sé que estoy guardando?

Nuestra era es llamada "La era de la información" y con mucha razón, ahora se guarda una cantidad enorme de información sobre empresas y personas en intentos elaborados de predecir que pasará en nuestro entorno y aprovechar esas situaciones a nuestro favor.

Pero ¿como sabemos que guardamos?, ¿Que sistemas lo utilizan?, ¿Para qué utilizamos esa información?

Hay miles de empresas que sufren problemas de espacio para bases de datos y estudios en como normalizar las bases de datos para reducir la redundancia en las tablas, pero la verdad es que sin un diseño unificado de la base de datos a nivel de empresa la realidad es que las bases de datos y sus contenidos son repetidos una y otra vez.
Al no saber que tenemos en éste momento o para que lo utilizamos, muchas veces  los administradores eliminan datos útiles simplemente porque no saben si son usados o si van a ser accesados en el futuro.

Para evitar éstas situaciones se ha implementado a nivel mundial un sistema de documentación integral, se llama "metadatos".

Los metadatos describen otros datos, identificando los aspectos importantes que la empresa o persona desee, utilizando valores como "tema", "responsable", "sistema", etc.

Existen varios tipos de metadatos:

• Catalogación: porque pueden describir contenidos a nivel individual (como una página web) como en colecciones.
• Estandarización: pueden describir el estándar utilizado para tipos de datos, modelos, columnas, reportes, etc.
• Búsqueda de recursos: su aplicación facilita el trabajo de los motores de búsqueda.
• Firmas digitales: formatos como RDF permiten codificar las firmas digitales, requisito fundamental a la hora de crear una web de confianza. 
• Clasificación de contenidos: permiten establecer los contenidos que los usuarios desean ver.
• Otras aplicaciones: marcados de políticas y preferencias de privacidad y los derechos relativos a la propiedad intelectual. 

Las librerías de metadatos le permiten a la empresa tener una catalogación de temas y directrices de importancia para la consulta de sus empleados que evitan doble trabajo y errores en procesos clave desde un simple reporte a una migración de bases de datos.

Ningún software de arquitectura de datos viene sin la opción de creación e inserción de metadatos, ¿lo está utilizando usted hoy en día?

Fuentes:

http://en.wikipedia.org/wiki/Metadata
http://www.bn.gov.ar/descargas/catalogadores/ponencias/251109_10a.pdf

5 errores básicos de tratar de migrar a estructura móvil

Los países desarrollados están adoptando la tecnología móvil a su infraestructura, interesante ¿verdad?.

En Latinoamérica no se ha dado ese paso por miedo al cambio, lo cual es una lástima, pero podemos aprovechar éste rezago al analizar los problemas y las propuestas que han surgido de ésta migración.

1. No es necesario migrar TODO a móvil
   Los dispositivos móviles nos dan una plétora de opciones y de datos implícitos sin que el usuario necesite llenarlos, nos permiten comunicación en tiempo real en donde esté el dispositivo (siempre y cuando la red lo permita), pero eso no significa que sistemas completos deban ser migrados cuando no es necesario mas que añadir algunos módulos.
2. Es importante mantener metadatos de la compañía
   Es tristemente impresionante la cantidad de empresas que no mantienen una base de metadatos, ésta base es una serie de convenciones que garantizan la compatibilidad de información de las bases de datos de la compañía entre módulos diferentes, por ejemplo: todos los campos "nombre" son varchar de 25 dígitos, hay que aprender a uniformar los sistemas para evitar los múltiples problemas que enfrentan las empresas.
3. Aprovechen el espacio local!
   Parte de las ventajas del desarrollo móvil es la de mantener un centro de información, pero recordemos las fallas de sistemas y las zonas de conexión muerta, es muy buena idea mantener un cache de información local en el dispositivo para acelerar el rendimiento y permitir el trabajo offline.
4. Debe elegirse una base de datos acorde a lo que queremos hacer
   Una base de datos gratuita sin encripción  es totalmente aceptable para una aplicación gratuita y sin importancia, pero una aplicación para una empresa importante con datos de los clientes y de sus productos merece una base de datos con rendimiento y seguridad, no hay que ahorrar en lo importante.
5. La seguridad es lo primero!
   "Toda empresa debe maximizar los ingresos y minimizar los gastos", es la máxima de toda empresa, pero existen dos reglas que parecen olvidar los gerentes de hoy en día, "obtienes el valor de lo que pagas" y  "Para ganar dinero debes invertir dinero", debemos recordar que la seguridad de nuestra información  es lo primero, cada vez más países reglamentan y castigan la pobre seguridad de la información y la seguridad es de las pocas cosas en las que NO se debe ahorrar, cada día aparecen más y más agujeros públicos en las plataformas conocidas, es cierto se puede tener mucha seguridad en un ambiente de código abierto si y solo si invertimos en un genio de código abierto comprobado, debemos aprender todos los días e invertir en tecnologías seguras.

Raúl Morales Víquez

raul.morales.víquez@hotmail.com / http://informatica-raulmorales.blogspot.com

Consultor en informática e Instructor, certificado en Seguridad Informática, Graduado en la Universidad Latina de Costa Rica con más de 10 años de experiencia en diversas áreas de cultura organizacional en empresas multinacionales.

Fuentes

Definiciones de Datos Clave
ico.org.uk/for_organisations/data_protection/the_guide/key_definitions

Costo de una intrusión
https://www4.symantec.com/mktginfo/whitepaper/053013_GL_NA_WP_Ponemon-2013-Cost-of-a-Data-Breach-Report_daiNA_cta72382.pdf

Ingeniería Social, el punto débil de cualquier organización

Hoy en día es común el recibir correos de príncipes africanos que sólo necesitan nuestra información bancaria para salvar sus millones a cambio de una comisión o de loterías de internet que sólo requieren de $200 de impuesto para que nos envía $4 millones de dólares, pero ¿cuantas personas cayeron ante estos engaños?, ¿Cuánta gente sigue cayendo?

El robo de información de la empresa Kickstart, la empresa que ha conseguido capital para las nuevas empresas a través de internet, no fue algo inesperado, por lo menos no para los profesionales de seguridad, sino algo que era de esperarse luego de los grandes robos contemporáneos.

Sony y Target son empresas aún más grandes que han sufrido ataques informáticos en los últimos años, la seguridad informática es algo que ni siquiera es prioridad para los programadores y gerentes de empresas, es sólo otro gasto ¿verdad?, pero cuando pasa algo como esto uno no duda en preguntarse, ¿no es un error lógico y fácil de evitar?

La verdad, difícil de tragar, es que la culpa es nuestra como usuarios, ¿cuántos de nosotros leen los términos de licencia de un programa, o le encargamos a un abogado a que lo haga y nos los explique?, ahora bien ¿cuántos leemos siquiera lo que nos piden en las pantallas emergentes?, ¿cuándo es mejor presionar “cancelar” que presionar “ok”?

Hace poco me llegó un correo que fue novedoso, me guio a una página igual a paypal, una página muy conocida de pago con tarjeta de crédito, y me alarmó mostrándome un cargo al que yo no había accedido, siendo honesto yo ya sospechaba algo raro por el comportamiento de la página, ya que todos los links me pedían “resetear” la cuenta antes de darme más información e insistían en que debía “refrescar” los datos de tarjeta de crédito, ¡Alerta! Las páginas reales te dan la información una vez que uno se autentica, no le piden más datos hasta que uno intente cambiar algo y le informan de lo que pasa sin tener que autenticarse varias veces.

¿Cómo reconocer una página falsa de una real?

1.       Revise el campo de dirección: Las páginas falsas utilizan nombres de dominio alternos o de países diferentes como http://Bancogeneral.freewebs.com o http://Bancogeneral.com.ru

2.       Los enlaces van todos hacia un mismo destino: rara vez los artistas del engaño dedican mucho tiempo en la creación de páginas falsas así que para ahorrar tiempo envían todos los enlaces de la página a obtener su información

3.       Exigen más información de la necesaria para acceder: por lo general estos artistas son muy ambiciosos y apuestan a obtener toda su información de una sola vez

Recuerde

1.       Siempre acceda a sus páginas financieras escribiendo la dirección directamente, nunca desde un enlace.

2.       Si sospecha que entró a una página falsa, ¡Cambie su clave!

3.       Si recibe un email sospechoso, envíelo a la oficina de seguridad informática de su empresa financiera

4.       Elija empresas financieras que tengan oficinas de seguridad informática.

¿Qué es ingeniería social?

El tema de la ingeniería social es utilizar las habilidades sociales de una persona o grupo para obtener información, esto se da a través de:

·         Llamadas telefónicas: Cuando el “administrador del sistema” ocupa su clave para hacer un mantenimiento de su cuenta, los administradores tienen control absoluto del sistema y no requieren de claves para respaldar su correo electrónico.

·         Correos electrónicos: ahora es posible el esconder virus en fotos y archivos de música que se vuelven indetectables para muchos antivirus, solo abra los archivos que vienen de fuentes fidedignas.

·         Acceso físico: hay miles de tipos de dispositivos electrónicos diseñados para copiar y rastrear información.

Recuerde, conforme la empresa es más grande, la información es más valiosa.

El método de defensa de las empresas pequeñas que les permite mantener cero o muy poco presupuesto en seguridad es que el costo de violar su seguridad es más alto que la ganancia potencial, esto no se da en empresas cuya base de datos incluya información sensible de funcionarios de otras empresas o gobierno.

El error de muchas empresas es minimizar el valor de sus activos, es recomendable invertir entre el 20% y el 30% de sus ganancias en diversos dispositivos de seguridad y respaldo para su información.

Ahora siempre va a existir un límite entre lo aceptable y lo inverosímil, un juego de espías es muy poco probable conforme es una pequeña empresa, pero en una gran empresa con negocios de millones de dólares, los micrófonos y cámaras espías no son gran inversión contra la ganancia potencial.

Defiéndase de la Ingeniería Social

La ingeniería social depende del desconocimiento de sus empleados del valor de lo que hacen y de la información  recabada por parte de los intrusos, la manera más fácil de defenderse es negativizar ésta ecuación.

Sus empleados deben conocer el valor de la información interna de la compañía y no revelarla a personas externas, sus mercadólogos deben ser expertos en el arte de revelar información que atraiga a sus clientes y posibles inversores, pero que sea inútil a personas que deseen hacerle daño a su compañía.

Sus auditorías de  seguridad deben apoyar a sus empleados dándoles herramientas para bloquear fugas de información y reiterándoles el valor de su actividad y su valor en la empresa.

Recuerde el 75% de los ataques (maliciosos y accidentales) dentro de cualquier empresa son causados por sus mismo empleados.

Raúl Morales Víquez
raul.morales.víquez@hotmail.com / http://informatica-raulmorales.blogspot.com

Consultor en informática e Instructor, certificado en Seguridad Informática, Graduado en la Universidad Latina de Costa Rica con más de 10 años de experiencia en diversas áreas de cultura organizacional en empresas multinacionales.

Auditoría de Seguridad de su empresa

¡Aproveche el diagnóstico y
no permita que su información esté en riesgo!

 Publicado en mercadeo.com

La auditoría de seguridad es una de las herramientas más poderosas e ignoradas para el mantenimiento de nuestra actividad de negocio.

Una auditoría de seguridad completa incluye un análisis de infraestructura tecnológica, un estudio de estrategia de mantenimiento del negocio y un plan de protección integral de los datos de la empresa.

El análisis de infraestructura tecnológica incluye el asegurar que la red de información de la empresa es seguro desde dos puntos de vista, el de asegurar que la información llegue de forma rápida y de que la información no sea vulnerable a lectura o edición de parte de personas no autorizadas.

El estudio de estrategia de mantenimiento del negocio incluye el revisar que estrategias tiene la empresa en el caso de que alguno de los sistemas (Comunicación, Procesamiento o Almacenamiento) falle, ¿Qué tan redundante es mi sistema?, la redundancia de sistemas es nuestra amiga para la prevención de desastres.

El plan de protección integral de los datos es importantísimo ya que representa el activo más valioso de la empresa, su información, así que debemos incluir un plan de educación del personal para que asuman su responsabilidad con la integridad de los datos de la empresa, un 75% de los daños en sistemas empresariales son causados por los mismos empleados ya sea por error o por acción alevosa, por ello el siguiente paso es el crear una política de seguridad de usuarios y “roles” para separar y delimitar el alcance de daño posible, y la última parte del plan es el respaldo de los datos, aunque tengamos total confianza en el sistema que tengamos, debemos planear para la peor situación posible y eso implica que debemos tener copias y copias de la información día  a día (aunque con la tecnología actual podemos utilizar la “nube” como respaldo).

El temor infundado a la auditoría

Uno de los temores más generalizados para evitar una auditoría de seguridad es la posibilidad de encontrar una debilidad dentro de la infraestructura de tecnología de información de la empresa.

Éste temor es comparable al de no ir al médico por temor a que se le diagnostique un cáncer o alguna otra enfermedad, ¿cómo esperamos ser capaces de contrarrestar una infección si no tenemos la valentía de aceptar la posibilidad?

La auditoría de seguridad de sistemas informáticos es una medalla de valor en el historial de nuestra compañía, demuestra el compromiso de la empresa en la protección de los datos de sus clientes y en el aseguramiento de la confiabilidad de los datos.

La seguridad informática no consta solamente de antivirus y evitar que un hacker entre a sus sistemas, esa sólo es una parte ínfima de las responsabilidades de un CIO, un Jefe de información debe asegurar entre otras cosas:

• El asegurar políticas de continuidad del negocio
• Crear un árbol de comunicación y toma de decisiones
• El crear planes de recuperación
• Organizar respaldos de información e Infraestructura

¡Utilice sus mejores prácticas de seguridad como estrategia de mercadeo!

El demostrar que su empresa es sólida y está preparada para sobrevivir a desastres es una excelente manera de atraer clientes, además que garantiza un servicio estable y confiable.

Certificaciones de Seguridad

Una de las técnicas de seguridad que se consideran imprescindibles en el mundo de hoy son las certificaciones de seguridad en su sitio web.

Las certificaciones de seguridad son llaves de seguridad que garantizan a sus clientes que su sitio en la red es suyo, asimismo certifica que cualquier transacción que se haga es segura y que nadie que intente “escuchar” la comunicación entre el cliente y su empresa podrá entender nada.

Al informar a sus clientes de sus certificaciones de seguridad y sus estrategias de auditoría los hará sentir mayor confianza en usted y en su empresa, la inversión será retribuida en mayor afluencia de clientes y la seguridad de que al pasar una situación, su empresa no será afectada.

Raúl Morales Víquez es Consultor en informática e
Instructor, certificado en Seguridad Informática, 
graduado en la Universidad Latina de Costa Rica 
con más de 10 años de experiencia en diversas 
áreas de cultura organizacional en empresas 
multinacionales.