Muchas veces cuando hablamos de dar el salto a la nube uno de los argumentos repetidos es el tema de la seguridad de los datos. Por lo general, se piensa que los datos están más seguros si los guardamos en el servidor de nuestra empresa que en un centro de datos. Sin embargo, ¿cómo podemos saber si nuestros datos y empresa están realmente seguros?
Para dar respuesta a estas preguntas tendríamos que haber realizado una auditoría técnica de seguridad, a ser posible por una empresa externa independiente, que nos evalúa distintos aspectos de la seguridad de nuestra empresa y luego nos emite un informe reflejando los problemas encontrados y cómo podemos corregirlos. Sin estos datos es muy difícil afirmar la seguridad de nuestra empresa.
Las auditorías técnicas hacen referencia a toda la estructura TIC de la organización por lo que a medida que aumente la complejidad de nuestra infraestructura será más o menos complicada. Vamos a ver algunos tipos de test que se pueden realizar:
- Test de penetración en el que se trata de obtener acceso a aplicaciones o datos sin tener las autorizaciones pertinentes.
- Auditoría de red que se ocupan del análisis de la red de comunicaciones de la empresa y los dispositivos conectados a la misma. Buscan, por ejemplo, puertos abiertos, recursos compartidos, servicios o electrónica de red, como los routers o los switches para evaluar su seguridad.
- Seguridad perimetral que evalúa las barreras que tiene una empresa para que tanto desde el exterior como desde el interior se pueda acceder sin permiso a sus datos, aplicaciones y servicios. En este sentido el límite de exterior o interior se ha desvanecido con el aumento de accesos desde cualquier lugar a aplicaciones de la empresa, difuminado la fortera.
- Auditoría de software que trata de encontrar brechas conocidas en le software que utilizan nuestras empresas, tanto en aplicaciones propias como de terceros que muchas veces son las responsables de las vulnerabilidades.
En función de estos resultados podremos evaluar realmente si nuestros datos están seguros en nuestras instalaciones. Muchas veces las empresas piensan que por ser pequeñas no van a tener el interés de un atacante por su información. En parte es cierto, pero lo mismo se puede aplicar en sus instalaciones que en un gran centro de datos donde muchas veces se beneficiarán de la seguridad implementada para este tipo de centros.
Más información | INTECO
En Tecnología Pyme | La obligación de la auditoría de software en la pyme
Imagen | Anonymous Account