Medidas de Seguridad en Dispositivos Móviles

Cada vez es más habitual tener información confidencial almacenada en dispositivos móviles tales como ordenadores portátiles, PDAs, Tablets, y no tenemos en cuenta la facilidad con la que se pueden "perder" estos dispositivos.

En estos dispositivos deberíamos adoptar una serie de medidas para proteger esta información, ya que Ley de Protección de Datos obliga a salvaguardar la información almacenada en los dispositivos móviles de la misma forma que si estuviesen almacenados en los servidores de su empresa.

1. Cifrado completo de disco duro

La mayor parte de las pérdidas de datos se deben a la pérdida accidental de un dispositivo en un taxi, en el tranvía o durante la clásica noche de viernes en un bar. En este caso demostrar que no existía información confidencial en ese dispositivo es una ardua labor. Si el dispositivo disponía de un cifrado completo, no se necesitan más explicaciones, ya que el inspector sabe que el cifrado protege al dispositivo. Si por el contrario no se dispone de este tipo de cifrado, el inspector lo verá como una clara señal de que encontrará más problemas.

Asegúrate que dispones de informes que atestigüen que los dispositivos han sido cifrados y realiza comprobaciones de que mantienen esa medida de seguridad. Si tu empresa no ha implementado políticas de este tipo, debería ser una prioridad máxima.

2. Cifrado de unidades extraíbles

Una vez que los discos duros están seguros, tendrás que lidiar con las molestas llaves USB y los sistemas de almacenamiento extraíble. Éste es el punto débil de muchas empresas: invierten en tecnología pero los usuarios buscan una manera de franquearla ya que no les facilita el compartir información. Antes que definir unas reglas estrictas e inflexibles (que está demostrado que son menos seguras), prepárate para la auditoría con informes que demuestren que cifráis este tipo de dispositivos.

3. Un sistema de normas efectivo

Una parte de las medidas organizativas y técnicas requeridas consiste en documentar cómo loa datos van a estar protegidos Ya hemos explicado que no hay ninguna garantía al 100% contra la pérdida de información, pero si no has documentado correctamente los procedimientos que empleas en caso de incidente, lo más seguro es que el auditor te machaque a preguntas. Tu sistema de normas será lo primero que revise el auditor, incluso antes de que inspeccione los informes que presentes de controles técnicos y procesos. Debo prevenirte que tener un sistema complejo y tedioso no te va ayudar.

Planifícate y mantén tus políticas en orden.

4. Políticas sobre uso aceptable

Educar a los usuarios no sólo es una parte importante de un sistema de normas efectivo, sino que además es una manera barata de prevenir incidentes. En particular, asegúrate que las normas sobre usos aceptables que atañen a las últimas tecnologías están actualizadas. Por ejemplo ¿está previsto el uso de smartphones desde casa y compartiendo datos con terceros?

5. Antivirus moderno

Gran parte del malware más moderno está diseñado para robar información (por supuesto el tipo de información que te creará un problema). Asegúrate de que estás usando tecnología moderna, no la tradicional. Busca que emplee tecnología HIPS y tecnologías basadas en la nube. Comprar sistemas y no usarlos porque son muy complicados o caros de gestionar no es una buena idea.

6. Prevención de pérdida de datos

Las políticas de prevención de pérdida de datos han estado en boga durante los últimos años. No se trata que pases semanas identificando los tipos de datos que maneja tu empresa, ni que diseñes complejas soluciones en las que identifiques los usuarios que pueden acceder a cada documento. Identifica los datos más confidenciales y obliga a cifrar esa información cada vez que sea compartida ya sea al mandar un correo a un cliente, subiéndola a la nube o copiándola a una llave USB. Ofrece alternativas cuando bloquees aplicaciones. Por lo menos implementarás soluciones y te llevará 2 días no 200, además te servirá para que convencer a los auditores de que te tomas la seguridad de tus datos de forma responsable.

7. Política de contraseñas seguras

Una contraseña débil puede llevar al traste toda tu estrategia de defensa. Crea una norma que introduzca la complejidad suficiente para que sean robustas. Tampoco te pases en esa complejidad, si no, acabarán por escribirla en post-its con lo que no habremos ganado nada. 

8. Política de gestión de incidentes

Los incidentes relacionados con seguridad ocurren. Muchas veces al no existir una correcta gestión se magnifican y surgen filtraciones a clientes o a la prensa cuando en realidad su incidencia fue mínima. Si no quieres que la situación se vuelva un caos tienes que implementar una política de gestión de incidentes . En ella involucraremos otros departamentos como legal, marketing o atención al cliente. La idea es que en cuanto ocurra algo todos en la empresa sepan lo que tienen que hacer. Con una gestión eficiente conoceremos con mayor prontitud el alcance del incidente, lo comunicaremos correctamente y minimizaremos su alcance.

9. Protección móvil

Los dispositivos móviles son cada vez más numerosos. Por si fuera poco cada vez almacenan una mayor cantidad datos confidenciales. Todo esto hace que tanto los auditores como los cibercriminales los tengan en su punto de mira. Cada vez surgen soluciones más complejas para cubrir su seguridad. Asegúrate que tienes una idea clara de las necesidades de tu empresa, cíñete a lo básico: contraseñas, bloqueo, cifrado, parcheado de vulnerabilidades y borrado remoto. Una vez que tengas estos puntos bajo control, mantente alerta sobre nuevas amenazas y comprueba que se están cumpliendo tus políticas.

10. Vigilancia fuera de la oficina

Existen muchos elementos de seguridad que pueden que no funcionen eficazmente fuera de los límites de la oficina. Comprueba que elementos como “navegación segura” funcionan cuando los dispositivos se conectan a otros servidores. Control de parches, filtrado web y procedimientos de aviso deben estar activos dentro y fuera de la oficina.

Consulta también el artículo sobre copias de seguridad

Cotización contratos de formación y aprendizaje

Antecedentes

El RD 1529/2012, de 8 de noviembre, por el que se desarrolla el contrato para la formación y el de aprendizaje establece las bases de la formación profesional dual y deroga parcialmente el RD 488/1998, de 27 de marzo, por el que se desarrollaban los contratos formativos, quedando incluido entre los preceptos derogados el artículo 16, en el que se establecía que para determinar la base reguladora de las prestaciones económicas de la Seguridad Social de los trabajadores con contratos para la formación se tomaría como base de cotización el 75% de la base mínima de cotización que correspondiera.

Boletín Sistema Red 7/2013

Debido a que la cotización derivada de estos contratos se efectúa sobre una cuota mensual fija, en materia de prestaciones se tendrá en cuenta la base mínima de cotización del Régimen General.

En la práctica

A partir de la primera semana de diciembre, la base de cotización de los trabajadores con contratos para la formación y el aprendizaje que se informan en el fichero FAN deberá coincidir con la base mínima de cotización del Régimen General que corresponda según el grupo de cotización del trabajador. Dicha base mínima se tendrá en cuenta para calcular la base reguladora de las prestaciones del sistema de Seguridad Social.

Este criterio se hace extensible a las siguientes personas:

• Participantes en programas de formación: Relación laboral de carácter especial 9922,
• Personas que realicen prácticas no laborales: Relación laboral de carácter especial 9923, y
• Estudiantes universitarios que realicen prácticas académicas externas: Relación laboral de carácter especial 9927. 

Lee también nuestro artículo sobre el Sistema Creta

La importancia de las copias de seguridad

Le recordamos la importancia de realizar copias de seguridad, y que, periódicamente junto con sus informáticos verifiquen la integridad; ya que protege los datos ante las pérdidas producidas por virus (como el cryptolocker), ataque de hackers, borrados involuntarios, caídas de tensión, etc.

 Las copias de seguridad son una copia de los datos originales que se realiza con el fin de disponer de un medio para recuperarlos en casos de su pérdida.

Recomendaciones

En caso de no tener una política de copias de seguridad coordinada por sus responsables informáticos, desde Canarlab se recomienda seguir el siguiente plan de mantenimiento:

Periodicidad:

• Mínima: una copia completa semanal.
• Recomendado: una copia completa diaria.

 Histórico: es recomendable mantener un histórico de copias de seguridad, como mínimo:

• Semanal: guarde una copia completa de las 5 últimas semanas.
• Mensual: guarde una copia completa de los 12 últimos meses.

Anual: guarde una copia completa de los 5 últimos años

La copia de seguridad de los datos de  SQL se ha de realizar a través de la consola de Microsoft SQL

RECUERDE: El fin último de un sistema de copias remotas es la posibilidad de recuperar la información en caso de desastre: incendio, inundación, etc. con la mayor celeridad posible. La inversión en copias de seguridad es infinitamente menor que afrontar la pérdida irreversible de información vital para su negocio y el de sus clientes.

Con el sistema de Copias Remotas de Canarlab, Vd. mismo puede recuperar la última copia de sus datos a través de Internet, de una forma fácil y sencilla.

La importancia de actualizar el Navegador

El navegador de Internet, sea cual sea el que se use, sigue siendo el principal vehículo del internauta para acceder a la Red a diario. 

Mantenerlo actualizado es importante para evitar vulnerabilidades de versiones antiguas. Cabe destacar que el 23 % de los usuarios de Internet utilizan versiones antiguas y obsoletas de los navegadores web

Existen varias razones por las que es importante actualizar el navegador con cierta periodicidad. 

Entre los navegadores obsoletos más utilizados por los usuarios se encuentra Internet Explorer en sus versiones 6, 7, 8 y 9. Como es el navegador por defecto del sistema operativo Windows y en el XP, muchos usuarios consideran, de forma errónea, que es suficiente esa versión para su navegación habitual. 

A este respecto, hay que puntualizar que la mayoría de los ataques informáticos que se realizan provienen de páginas web que explotan las vulnerabilidades existentes en navegadores y extensiones que no se han actualizado de forma debida, por lo que los riesgos de seguridad y amenazas se multiplican de forma exponencial. 

Los navegadores web, al igual que el resto de aplicaciones, nunca son 100% seguros, ya que en ocasiones presentan diversos defectos que los delincuentes aprovechan para acceder a información personal del usuario. Es, por tanto, de vital importancia tener instalada la última versión del navegador, si se quiere minimizar tanto el riesgo de ataques hacia el equipo como la apropiación de la información más sensible. 

Comprueba si el navegador está actualizado 

Los usuarios pueden comprobar si su navegador está actualizado mediante el acceso a esta información desde la barra de menú. 

• En Internet Explorer es necesario acceder al sistema de actualizaciones de Microsoft para conocer si hay alguna versión pendiente del navegador. 
• En Opera, en el menú "Ayuda" existe una opción denominada "Comprobar actualizaciones".
• En Firefox, en el menú "Ayuda" la opción se denomina "Buscar actualizaciones". 
• En Google Chrome esta comunicación está accesible desde la opción de menú "Información de Google Chrome".

También las extensiones 

No solo es importante mantener actualizado el navegador, sino también el resto de aplicaciones y extensiones asociadas al mismo; es decir, disponer de las últimas versiones de plugins propietarios que permiten disfrutar de tecnologías multimedia como Adobe Flash, Java o Microsoft Silverlight. 

Estas tecnologías, sino se renuevan, también pueden suponer un problema de seguridad, ya que pueden ser empleadas como puerta de entrada al sistema operativo y a los datos personales almacenados, incluidos los de acceso a la banca electrónica o a diferentes plataformas on line. 

Además, la rapidez a la hora de actualizar también es importante. La mayoría de los usuarios necesitan más de un mes para poner al día la versión más reciente. Este tiempo puede ser aprovechado por criminales para utilizar las vulnerabilidades encontradas en versiones anteriores del navegador. 

Mayor rapidez 

Otra de las principales ventajas de tener un navegador actualizado es la rapidez de carga de una página web. Los últimos motores incorporados en las principales aplicaciones muestran estos sitios de forma más veloz que las versiones antiguas. Además, las actualizadas cuentan con las últimas novedades tecnológicas, de modo que los usuarios pueden navegar por cualquier página sin sufrir problemas de carga o incompatibilidades con las tecnologías más avanzadas que emplee. 

Redes sociales como Facebook o servicios en línea de Google como Gmail utilizan tecnologías que no son compatibles con navegadores como Internet Explorer 6,7,8 o 9. 

De esta forma, los usuarios que dispongan de un navegador obsoleto no pueden usar todas las funciones disponibles en estas plataformas. 

Además, los desarrolladores web también están interesados en que los usuarios tengan un navegador con la última versión, ya que les permite emplear nuevas tecnologías y estándares web como HTML5 y CSS3. 

Por eso, existen iniciativas como Brower-Update para insertar un código en una página web y avisar al usuario si su navegador no está actualizado. 

Actualizaciones automáticas 

Las actuales versiones de los principales navegadores web como Internet Explorer, Google Chrome o Firefox, cuentan con un sistema de actualización automática de la aplicación; es decir, el sistema posee un gestor que permite descargar e instalar de forma automática una nueva versión del navegador en segundo plano. 

Sin embargo, para que esta actualización sea efectiva, es necesario reiniciar el navegador. Google Chrome realiza esta acción, pero nunca advierte al usuario que debe volver a ejecutar la aplicación, mientras que Firefox avisa mediante una notificación si pasan más de 24 horas sin reiniciar el navegador.

Fuente: 20 Minutos

Consulta el Blog sobre configuración de los Navegadores para la Administración

Descarga nuestra App