Aplicando políticas de uso de Internet y correo electrónico en la empresa y no morir en el intento.

Uno de los grandes retos que debe afrontar un administrador de redes (suponiendo el acostumbrado vacío del puesto CISO en la empresa y/o Seguridad) es la aplicación de políticas de uso de Internet y correo electrónico en la organización.

En esta ocasión haré referencias solo en este ámbito, sin hacer mención de seguridad de la información como ese "elemento" (piedra en el zapato) del que ni los ejecutivos ni personal de infraestructura o sistemas quiere ver muchas veces de frente, hasta que le sucede lo inesperado...

Establecer políticas de este tipo puede llegar a ser un dolor de cabeza si no se establecen las estrategias y sinergia necesaria con los lideres de la organización para su establecimiento, adopción, mejoras y adecuación pertinentes. Y con gran razón, les puedo decir que describir y establecer prioridades son fundamentales en estos procesos, pues ciertamente el trabajo a realizar por todos los usuarios es a través de activos de la organización (es el inicio de mantener armonía en las relaciones con todos los usuarios de la red y sus funciones) sonará de mala actitud una frase como: "no puede jugar candy crush en la PC de la organización ya que la PC es de la organización, el internet es de la organización e inclusive la electricidad que se consume a través del PC es un gasto que efectúa la organización"

Muchas veces hemos llegado a efectuar auditorias de uso de medios electrónicos en las empresas clientes, consiguiéndonos uso del correo electrónico para fines personales, agregados en redes de correo masivo (publicidad, mercado y otros) y claro esta nunca esta demás la expresión del usuario: "a mi nunca me dijeron que eso no se debía hacer"

Por razones como estas, en toda organización sería, responsable y preocupada por la manipulación de información y su reputación deben existir líneas claras de uso de medios electrónicos por parte de los usuarios, de allí parten los principios elementales para los subsiguientes pasos como lo son: implementación de elementos de seguridad y privacidad de la información, estándares en manipulación y resguardo de la misma, plan de recuperación ante desastres y contingencias para continuidad de negocios, entre otros.

No existe un libro ni manual en estos temas (al menos no con una fórmula mágica), aunque si la opinión de muchos expertos al respecto, no obstante algunas sugerencias le podrán ser de utilidad para desarrollar de manera paulatina, planificada y apoyada en la gerencia de su organización el establecimiento de políticas de uso de Internet y correo electrónico empresarial:

1.- Planifique las metas en el correcto uso de Internet y correo electrónico que los usuarios de la red deberían aplicar, reglas claras, precisas y detalladas, separar la información personal de la corporativa es fundamental.

2.- Establezca lineas de base, respecto al consumo de Internet y los medios con los que cuenta la organización, si por ejemplo existen 3 usuarios de la red que se conectan a través de dispositivos móviles a actualizar o gestionar su información (y hasta la de la empresa) vía iCloud, y a su vez estos, junto con el resto de la población de usuarios requieren de uso de skype para las comunicaciones corporativas, con un único acceso de Internet ADSL de 20 MBPS, entonces, no espere los mejores resultados.

Es vital como administradores de red investigar, indagar y copilar información en referente a que es lo importante para la empresa, saber cuales son los recursos con los que contamos y establecer las prioridades pertinentes.  

3.- Lleve a sus superiores un plan de acción para aplicación de políticas de uso de Internet y correo electrónico, apóyese con el departamento legal y jefes departamentales, promueva en todo momento el resguardo de la información corporativa y la reputación de la empresa. 

No debe perder el enfoque tan necesario en esta etapa, es preciso discernir lo que es fundamental para un correcto uso de los medios y lo que no lo es. Sus políticas deben ser lo más grupales posibles, al final no podrá atender al estilo del mejor cyber café del mundo las peticiones de 300 usuarios de manera simultánea si se ha prohibido el uso de Facebook en la organización.

4.- Una vez establecidos la permisología de uso de medios, entonces proceda con una comunicación global, a su vez, el departamento legal debería apoyarle en llevar en papel con un acuse de recibo al usuario lo establecido en el paso 1, es decir, lo que debe y lo que no debe hacer el usuario.

5.- Ponga su plan en marcha (hasta este momento será el mejor amigo de todos los usuarios de la red)

6.- Obtención de reportes, uso global y particular de los recursos de Internet, proceso de entonación y mediciones, siempre es importante informar a los superiores como se esta desarrollando la implementación de estas políticas. La entonación es fundamental, no debe dejarse a un lado y esto va de la mano con los recursos que disponga para determinar su capacidad, por ejemplo: tome en cuenta que al hacer uso de Internet, más del 80% del tráfico es encriptado, por ende, requerirá de buenos elementos (firewalls, proxies con una excelente capacidad de recursos internos) para "controlar, denegar o permitir" el uso de aplicaciones y acceso a sites. 

7.- "Pensar en proteger es más importante que pensar en denegar" hoy en día es casi una regla de todo administrador de red que no sea experto en materia de seguridad. 

Continúe estableciendo y midiendo resultados, es parte fundamental de una correcta gestión de redes y seguridad de la información.

Adrián Gómez.
Director General, Gerente de Operaciones.
Servicios de Proyectos y Consultoría SGSI 0526

Descripción general de próximo entrenamiento WatchGuard Essentials

En esta ocasión a partir del lunes 27 de junio y hasta el 30, tendremos la entrega de nuestra última capacitación en equipos y tecnologías WatchGuard con sistema operativo y WatchGuard System Manager versión 11.10.

En 4 días, los participantes contarán con las herramientas necesarias para su certificación con Kriterion y poner a pruebas sus conocimientos, a su vez que en nuestra capacitación tendremos una evaluación interna que le pertimirá al participante reforzar conocimientos.

Para nosotros es muy importante el tema de las capacitaciones, ya que los administradores de red asumen un importante rol en el tema de seguridad de las empresas, por ello, entender no solo cómo trabajan las tecnologías WatchGuard sino cuales son las mejores practicas es fundamental en las redes corporativas donde por lo general no hay tiempo ni recursos para madurar procedimientos ni configuraciones requeridas, mucho menos para hacer laboratorios y absorber entendimiento para llevar a cabo el "how to" en el desarrollo del "know how" del personal de administración de redes de una organización.

Nuestro programa en este 2016 ha sido todo un éxito, el #TakeTheChallenge les ha permitido a los participantes tomar un desafío exigente en materia de configuraciones de dispositivos y mejores practicas en materia de seguridad de la información, continuidad de operaciones y un correcto aprovechamientos de recursos en materia de servicios de seguridad y tecnologías WatchGuard en general.

Adrián Gómez.
Director General, Gerente de Operaciones.
Servicios de Proyectos y Consultoría SGSI 0526

La seguridad más allá del Firewall

Pensar que tenemos un Firewall y por eso no necesitamos un antivirus es un error. Los firewalls, son dispositivos de seguridad perimetral, son nuestro guardia de seguridad ante las amenazas de redes externas (internet). Los dispositivos que llamamos endpoint (punto final), son equipos o terminales como computadores de escritorio, laptops y teléfonos inteligentes, que, a pesar de estar protegidos en perimetros por el Firewall, deben cumplir con el concepto de seguridad informática.

Cuando los usuarios de una red corporativa no siguen el reglamento del buen uso de los recursos, podrían comprometer la seguridad de la información de la red. Existe un porcentaje muy alto referente a vulnerabilidades realizadas por personal interno, ya que conocen los procesos de gestión y podrían infectar, modificar o extraer información afectando la labor de la organización. Utilizando métodos de autenticación, cambios de contraseñas periódicas, permisos limitados de lectura y escritura, podríamos mitigar las vulnerabilidades antes mencionadas.

Los malware podrían ser filtrados a través de medios extraíbles, llámense pendriver’s, tarjetas de memoria, teléfonos inteligentes conectados USB, etc., y es donde nos encontramos frente a una tendencia llamada BYOD y BYOC, donde se les permite a los usuarios utilizar sus recursos de forma personal y profesional. Un ejemplo de esta tendencia, es el uso del correo electrónico corporativo en los teléfonos inteligentes personales, almacenamiento de información en nubes personales, aplicaciones que trabajan en la nube con monitoreo solo del usuario.

¿Usas Antivirus en tu teléfono inteligente, tableta, computador personal?, si tu respuesta es No, nuestro consejo es que deberías utilizarlo. Existen antivirus gratuitos que podrías utilizar para proteger tus dispositivos Endpoint.

Un Firewall deniega o permite los paquetes de conexiones entrantes y salientes, no analiza el contenido en dispositivos finales. Es necesario utilizar herramientas de protección tales como Anti Virus, Anti Spam, Anti Malware, con ellos puedes protegerte de virus, gusanos, spyware, software potencialmente no deseados y otras amenazas de seguridad. Conectarse a redes no seguras, sean cableadas o inalámbricas, estas arriesgando la seguridad de tus dispositivos, por lo tanto, la información se puede ver comprometida.

De una cosa si estamos seguros, las amenazas o riesgos no desaparecerán y las vulnerabilidades no desaparecerán por completo. Estar prevenidos, es la mejor defensa contra los atacantes, internos y externos. Cuida tu inversión, privacidad y la información corporativa y mantén actualizados tus recursos informáticos (Antivirus, Anti Spam, Firewall, etc.). Informa a tus usuarios de las nuevas tendencias y ataques informáticos.

Edgardo Echagarreta
Coordinador de Operaciones
Servicios de Proyectos y Consultoría SGSI 0526