¿Conoces todos los datos que tu empresa tiene expuestos en internet?
Actualmente en todas las empresas manejamos mucha información y datos que de una u otra manera pueden estar expuestos y comprometidos.
Para evitar que esto ocurra es imprescindible en primer lugar realizar un inventariado de la información, los datos y usuarios que tienen acceso.
Lamentablemente encontramos que muchas empresas conocen y pagan licencias, programas… que tienen en su inmovilizado intangible en contabilidad pero más allá de eso no existe una gestión óptima del inventariado de los accesos y las responsabilidades.
Algunos de los activos de información que podemos manejar en la empresa son:
Seguridad en gestión de dominios de internet
Pongamos un ejemplo que ocurre en cualquier empresa y que parece sencillo: el registro del dominio de la web. Es básico registrar un dominio cuando queremos estar presentes en internet. Nosotros, por ejemplo, decidimos registrar el dominio uup.es, bajo el que albergamos el correo y la web.
Si de este dominio depende el correo electrónico y la web de la empresa estarás de acuerdo en que es un elemento clave en cualquier marca.
Está claro que es un activo que debemos cuidar y una pregunta que debemos hacernos es: ¿Conozco quién tiene la potestad en mi empresa para hacer cambios administrativos sobre él?
Los dominios disponen de tres tipos de gestores: propietario, administrativo y técnico. Todos tienen un mail de contacto que es el que podrá realizar cambios. Por ello, es de vital importancia que conozcas quién figura en este mail y tengas identificado en tu inventariado quién sería el responsable en caso de querer migrarlo o hacer cambios. También existirá un acceso al panel de control en el agente registrador. ¿Quién tiene ese acceso en tu empresa? ¿lo conoces?
Es de vital importancia que conozcas quién figura como responsable de tu dominio en caso de necesitar hacer algún tipo de cambio.
Gestión de alojamiento, hosting y servidor web
Tu web está subida a un servidor. Puede ser que exista un intermediario o varios (proveedores de hosting, agencias de comunicación…). Estos son los encargados de tratamiento de tus datos y aunque ellos te dan el servicio, el responsable eres tú. Debes tener claro:
- ¿Cuántos usuarios hay dados de alta en tu web?
- ¿Qué permisos de administración tienen?
El responsable del tratamiento de estos datos eres tú. Así que si no tienes claro quién tiene acceso a tu web y alojamiento, te aconsejamos que lo revises.
Gestión de licencias
Puede ocurrir que en el desarrollo se hayan utilizado algún CMS como WordPress, Prestashop, etc. en el que se haya instalado plugins de terceros que requieran la creación de un usuario.
El uso de plugins de terceros es algo muy habitual ya que muchas funcionalidades se implementan a través de plugin de terceros en lugar de recurrir a un desarrollo a medida que sería mucho más costoso. Si en tu web has usado alguno de estos, ¿conoces con qué usuario se han dado de alta? Desde Uup siempre usamos una cuenta del dominio de nuestro cliente para que siempre disponga de la independencia para poder gestionar y no depender de un tercero para acceder a lo que es de su propiedad.
Seguridad en la gestión del correo electrónico corporativo
Por motivos seguridad es más efectivo disponer de un servicio de correo separado de la web. Por lo que deberías de disponer y tener localizado el panel de control que da acceso a la gestión de los correos electrónicos de tu empresa. Además, es altamente recomendable activar un doble factor de autenticación incluyendo un teléfono de verificación. Microsoft pronto va a obligarlo y Google también. ¿Conoces estos datos?¿Quién tiene acceso en tu empresa?¿Quién es el responsable?
El doble factor de autenticación será pronto obligatorio tanto en Microsoft como en Google.
Seguridad en los servicios Google
Hoy en día para poder monitorizar los resultados de tu web, etiquetarla, incluir un captcha, se da de alta una cuenta gmail para gestionar todo. ¿Sabes con qué cuenta gmail tienes activos los servicios de Google: Searchconsole, Google Analytics, Tag Manager, Google My Business, campañas de publicidad (Google Ads)…?
Además has podido dar acceso a cuentas de terceros para que puedan gestionar. Es importante auditar regularmente estos accesos ya que sin tú saberlo puede estar accediendo un tercero no autorizado.
Y ¡ojo con la sincronización con los perfiles de Chrome! Es muy sencillo sincronizar perfiles. Somos en general bastante dados a almacenar contraseñas en perfiles de Chrome que luego pueden estar sincronizando otros. Es altamente recomendable disponer de perfiles de Chrome controlados con cuentas de pago y que sean nominales para cada usuario en la empresa.
Accesos a las redes sociales de tu empresa
El acceso a las redes sociales es un activo de información muy importante. En seguridad de la información a los activos se les puntúa en importancia de acuerdo al impacto que tendría una brecha de seguridad en confidencialidad, integridad y disponibilidad. ¿Imaginas qué podría ocurrir si un hacker accede y publica por ejemplo en Linkedin un contenido que ponga en cuestión a tu empresa?
Los accesos a redes a veces son descifrados ya que los hackers saben que un error muy habitual es usar la misma contraseña para todo.
No infravalores el acceso a redes y controla muy bien quién las crea y las gestiona.
La seguridad debe ser una tónica en todas herramientas
Ya sean los accesos de la web, redes, correo, herramientas que monitorizan tu web, CRM, ERP… Todo debe estar inventariado con los correspondientes accesos y responsables.
En Uup apostamos por la seguridad de la información como un aspecto imprescindible para dar el servicio a nuestros clientes. Tenemos claro que manejamos información importante para las empresas y que debemos estar atentos a las posibles vulnerabilidades para identificar riesgos y poner medidas de seguridad.
Anualmente superamos la auditoría con AENOR en ISO 27001 que supone una garantía de que nos preocupamos por tus datos y de tu capa de exposición en internet.
Y todo esto ya no va de “tener buenos propósitos” sino de cumplir la legislación. El artículo 5, apartado 2, del Reglamento (UE) 2016/679, establece expresamente el principio de «responsabilidad proactiva», según el cual el responsable del tratamiento será responsable del cumplimiento (y capaz de demostrarlo), entre otros, del principio de «integridad y confidencialidad»,
Los datos personales serán tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas («integridad y confidencialidad»).
Así que tómatelo en serio y cuenta con encargados de tratamiento que velen por tu seguridad si bien recuerda que tú eres el responsable.
Archivado en:
