Los errores más comunes en IT Security

Una correcta gestión de los sistemas informáticos de una empresa debe considerar cientos de variables, y es importante tomar las decisiones adecuadas para cada una.

A continuación, una lista de los errores más comunes en seguridad informática.

Políticas de seguridad y normativas:

• Ignorar requisitos de compliance normativa;
• Dar por hecho que empleados y managers leerán normativas, políticas y memo solo porque se les pidió;
• Usar modelos de protección sin personalizarlos;
• Adoptar frameworks como ISO 27001/27002 sin estar listos para los cambios requeridos;
• Crear políticas de seguridad imposibles de hacer respetar;
• Aplicar políticas que aún no han sido aprobadas;
• Crear políticas solo para marcar una check-box entre “cosas que hacer”;
• Contratar a alguien para redactarlas sin que conozca la actividad o los procesos;
• En entornos multilingües, traducir sin mantener coherencia entre versiones;
• Creer que una política es buena solo porque funcionó el año anterior;
• Pensar que haber establecido una política significa estar realmente seguros;
• Pensar que las políticas no aplican a directivos;
• Esconderse de los auditores.

• Distribuir un producto de seguridad sin configurarlo y probarlo antes;
• Ajustar el IDS para que sea demasiado o demasiado poco selectivo;
• Comprar productos sin considerar mantenimiento y costos de implementación;
• Comprar productos pensando que no introducen problemas de seguridad;
• Confiar solo en antivirus y firewall, sin controles adicionales;
• Instalar productos de seguridad sin configurarlos;
• Ejecutar escaneos regulares de vulnerabilidades pero no considerar los resultados;
• Dejar que software y hardware de seguridad trabajen en automático;
• Usar tecnologías distintas sin entender sus implicaciones de seguridad;
• Comprar un producto caro cuando uno más económico habría resuelto el problema.

• Usar la misma política de seguridad para todos los recursos IT y divisiones, sin considerar perfiles de riesgo;
• Nombrar un responsable de seguridad sin darle poder de decisión;
• Pensar que la propia empresa es demasiado pequeña para protegerla;
• No preocuparse porque no se ha sufrido una brecha reciente;
• Ser paranoicos sin considerar el valor del activo o su exposición;
• Clasificar todos los datos como top secret.

• No realizar controles periódicos sobre sistemas, appliances, equipos de red, aplicaciones y bases de datos;
• Bloquear infraestructuras tan estrictamente que trabajar se vuelve difícil o imposible;
• Responder “no” a cualquier solicitud;
• Imponer condiciones de seguridad sin herramientas ni formación;
• Concentrarse en prevención e ignorar controles periódicos;
• No tener una DMZ (Demilitarized Zone) para servidores accesibles desde Internet;
• Dar por hecho que el gestor de parches trabaja sin controlarlo;
• Eliminar archivos de log porque son demasiado grandes para leer;
• Creer que SSL resuelve todos los problemas de seguridad de aplicaciones web;
• Prohibir unidades USB sin limitar el acceso a Internet;
• Imponer decisiones a responsables de red, sistemas y desarrollo;
• No mantenerse actualizado sobre nuevas tecnologías y métodos de ataque;
• Adoptar tecnologías nuevas antes de que maduren;
• Contratar a alguien solo porque tiene muchas certificaciones;
• No informar a otros responsables sobre problemas de seguridad evitados;
• No formar al staff IT, personal y managers en seguridad informática.

• Pedir a los usuarios que cambien contraseñas demasiado a menudo;
• Esperar que recuerden contraseñas sin escribirlas;
• Imponer password policy irrealistas;
• Usar la misma contraseña en sistemas distintos;
• Imponer requisitos sin considerar lo fácil que puede ser restablecer una contraseña.

EasyAudit WEB es la solución entry level ideal para verificar sitios web, portales, aplicaciones web y áreas reservadas.

EasyAudit NET te permite verificar la seguridad de tu red expuesta a Internet.