Magic Quadrant™ para la gestión de acceso privilegiado 2025: Netwrix reconocida por cuarto año consecutivo. Descarga el informe.

ContáctenosSoporteCommunity
English Español Italiano Français Deutsch Português
Plataforma
Soluciones

Data Security Posture Management

Descubra y clasifique datos en entornos híbridos. Evalúe, priorice y mitigue los riesgos para los datos sensibles.

Directory Management

Simplifique y asegure la administración del directorio reduciendo la complejidad, el riesgo y el esfuerzo manual.

Endpoint Management

Asegure los endpoints y prevenga la pérdida de datos mientras mantiene a los equipos productivos, sin importar dónde trabajen.

Identity Management

Asegure cada identidad, agilice cada proceso y manténgase a la vanguardia del cumplimiento, sin añadir complejidad.

Identity Threat Detection & Response

Manténgase a la vanguardia de las amenazas basadas en identidades: remedie proactivamente los riesgos, bloquee ataques y asegure una recuperación rápida.

Privileged Access Management

Reduzca su superficie de ataque eliminando privilegios permanentes, asegurando credenciales y monitoreando sesiones privilegiadas.
Productos destacados Ver todos los productos
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La plataforma Netwrix 1Secure™

Explorar
Netwrix AI Entornos que protegemos Integraciones MSPs Riesgos de seguridad de Active Directory Cumplimiento Precios
Centro de Recursos Ver todo
BlogAttack CatalogCumplimientoHistorias de clientesMarcos de CiberseguridadGlosario de CiberseguridadEventosFreewareGuíasIdeas PortalNoticiasPodcastsPublicacionesAnuncios de ProductosInvestigaciónWebinars
Asset not found

Historia Destacada de un Cliente

DXC Technology permite a los clientes lograr el cumplimiento de PCI DSS y centrarse en iniciativas estratégicas
Socios
Programa de SociosConviértete en un SocioMSPsBuscador de sociosWebinars
Asset not found

Historia Destacada de Cliente

AppRiver mejora el control sobre Active Directory al tiempo que reduce significativamente el tiempo de auditoría
Asset not found

Historia Destacada de un Cliente

MSP ayuda a cliente a recuperarse de un ransomware en 6 horas
¿Por qué Netwrix?
Acerca de nosotrosLiderazgoNetwrix AIHistorias de clientesReconocimientoNoticiasCarreras
Asset not found

Historia Destacada de un Cliente

Horizon Leisure Centres acelera la clasificación de datos para cumplir con el RGPD y ahorra £80,000 al año
Asset not found

Historia Destacada de un Cliente

Samsung R&D Institute protege los datos con uso multiplataforma y despliegue rápido en macOS utilizando Netwrix Endpoint Protector
Centro de recursosMejores prácticas
Mejores prácticas de Data Security

Mejores prácticas de Data Security

La importancia de la seguridad de los datos

Hoy en día, toda organización, sin importar su tamaño, necesita seguir las mejores prácticas de protección de datos para reducir el riesgo de ataques de ransomware, phishing y otros ciberataques cada vez más sofisticados. Además, seguir las directrices de seguridad de datos es esencial para lograr, mantener y demostrar el cumplimiento de las estrictas leyes modernas de protección de datos como el GDPR y el CCPA.

Lamentablemente, el 77% de las organizaciones no están suficientemente preparadas para los ciberataques, según investigaciones del Ponemon Institute. Esto incluye incluso a los gigantes tecnológicos — en 2022, los hackers pudieron explotar una debilidad en la seguridad de la nube en Microsoft, resultando en una violación importante de datos.

¿Preocupado por tu propia seguridad? Este libro blanco revela las mejores prácticas de Data Security Posture Management que debes conocer hoy para proteger tu organización contra violaciones y sanciones de cumplimiento.

Las 14 mejores prácticas de Data Security

1. Comprender las tecnologías de datos y las bases de datos

Modelos de bases de datos

Los primeros sistemas de bases de datos conectaban a los usuarios directamente con los datos a través de aplicaciones. En una red privada, la seguridad física generalmente era suficiente para proteger los datos.

Hoy en día, las bases de datos modernas permiten que los datos se visualicen de maneras dinámicas basadas en las necesidades del usuario o del administrador. Los modelos incluyen:

  • Modelo de un nivel (único nivel) — En este modelo, la base de datos y la aplicación existen en un único sistema. Esto es común en sistemas de escritorio que ejecutan una base de datos independiente. Las primeras implementaciones de Unix también funcionaban de esta manera; cada usuario iniciaba sesión en un terminal y ejecutaba una aplicación dedicada que accedía a los datos.
  • Modelo de dos niveles — En un modelo de dos niveles, la estación de trabajo o sistema del cliente ejecuta una aplicación que se comunica con una base de datos que se ejecuta en un servidor diferente. Esta es una implementación común que funciona bien para muchas aplicaciones.
  • Modelo de tres niveles — Comúnmente utilizado hoy en día, el modelo de tres niveles aísla al usuario final de la base de datos introduciendo un servidor de nivel intermedio. Este servidor acepta solicitudes de los clientes, las evalúa y las envía a un servidor de base de datos para su procesamiento. El servidor de base de datos devuelve los datos al servidor de nivel intermedio, que luego envía los datos al sistema del cliente. El servidor intermedio también puede controlar el acceso a la base de datos y proporcionar seguridad adicional.

SQL vs NoSQL databases

El lenguaje más comúnmente utilizado para comunicarse con bases de datos es Structured Query Language (SQL). SQL permite a los usuarios enviar consultas a servidores de bases de datos en tiempo real. La mayoría de los sistemas de gestión de bases de datos relacionales comerciales — incluyendo Oracle, Microsoft SQL Server, MySQL y PostGres — utilizan SQL. (No confundir el lenguaje SQL con el producto de base de datos de Microsoft SQL Server.)

Una base de datos NoSQL no es una base de datos relacional y no utiliza SQL. Estas bases de datos son menos comunes que las bases de datos relacionales, pero se utilizan a menudo donde la escalabilidad es importante.

Aquí hay algunas diferencias clave:

Característica

Base de datos NoSQL

Base de datos SQL

Tipo de base de datos

No relacional/distribuido

Relacional

Tipo de esquema

Dinámico

Predefinido

Almacenamiento de datos

Los registros se almacenan en un único documento, a menudo en formato XML

Los registros se almacenan como filas en tablas

Beneficios

Puede manejar grandes volúmenes de datos estructurados, semi-estructurados y no estructurados

Ampliamente soportado y fácil de configurar para datos estructurados

Modelo de escalado típico

Horizontal (agregar más servidores)

Vertical (actualizar el servidor)

Vendedores/implementaciones populares

MongoDB, CouchDB

Oracle, Microsoft, MySQL

¿Vulnerable a ataques de inyección SQL?

No, pero susceptible a ataques de tipo inyección similares

Big Data

Algunas organizaciones almacenan más datos de los que pueden caber en un solo servidor, por lo que en su lugar se guardan en una red de área de almacenamiento (SAN). Una SAN es una red independiente que se configura para aparecer como un servidor ante la red principal. Por ejemplo, varios servidores y dispositivos de almacenamiento en red podrían configurarse como una mini-red diseñada para almacenar solo varios terabytes de datos. Está conectada a la red principal para que los usuarios puedan acceder a los datos en la SAN de manera rápida y conveniente.

Las SANs suelen tener servidores redundantes y están conectadas a través de conexiones de fibra óptica de alta velocidad o iSCSI que funcionan en cobre. Sin embargo, los Big Data pueden alcanzar un tamaño en el que se dificulta buscar, almacenar, compartir, hacer copias de seguridad y gestionar.

Sistemas de archivos

Los sistemas de archivos son otra forma de almacenar datos no estructurados y controlar cómo se recuperan. Sin un sistema de archivos, la información en un medio de almacenamiento sería un gran cuerpo de datos sin indicación de dónde termina una pieza de información y comienza la siguiente. Separar los datos en piezas y darle a cada pieza un nombre hace que la información sea mucho más fácil de aislar e identificar.

Los sistemas de archivos pueden utilizarse en muchos tipos de medios, como SSD, cintas magnéticas y discos ópticos. Los tipos de sistemas de archivos dependen del sistema operativo utilizado. Por ejemplo, Linux utiliza sistemas de archivos como la familia ext, xfs y jfs; Windows OS utiliza fat, fat32 y ntfs; y MacOS utiliza apfs y hfs+.

2. Identificar y clasificar datos sensibles

Para proteger tus datos de manera efectiva, necesitas saber exactamente qué tipos de datos tienes. La tecnología de descubrimiento de datos escanea tus repositorios de datos e informa sobre los hallazgos. A partir de ahí, puedes organizar los datos en categorías utilizando un proceso de clasificación de datos. Un motor de descubrimiento de datos generalmente utiliza expresiones regulares para sus búsquedas, lo que permite más flexibilidad.

El uso de tecnología de descubrimiento y clasificación de datos te ayuda a controlar si los usuarios pueden acceder a datos críticos y evitar que se almacenen en ubicaciones inseguras, reduciendo el riesgo de exposición indebida de datos y pérdida de datos. Todos los datos críticos o sensibles deben estar claramente etiquetados con una firma digital que denote su clasificación, para que puedas protegerlos de acuerdo con su valor para la organización. Herramientas de terceros, como Netwrix Data Classification, pueden facilitar y hacer más precisa la clasificación y el descubrimiento de datos.

Los datos deben clasificarse en función de su sensibilidad y valor. Por ejemplo, los datos se pueden agrupar en las siguientes categorías:

  • Datos públicos — Datos que no necesitan protección especial y pueden compartirse libremente.
  • Datos privados — Datos a los que pueden acceder los empleados pero que deben estar protegidos del público en general.
  • Datos confidenciales — Información que solo puede ser compartida con usuarios seleccionados, como información propietaria y secretos comerciales.
  • Datos restringidos — Datos altamente sensibles, como registros médicos e información financiera que están protegidos por regulaciones.

Deben existir controles para evitar que los usuarios modifiquen incorrectamente el nivel de clasificación de los datos. En particular, solo usuarios seleccionados deberían poder rebajar una clasificación, ya que eso hará que los datos estén disponibles de manera más amplia.

Siga estas directrices para crear una política de clasificación de datos sólida. Y no olvide realizar el descubrimiento y la clasificación de datos como parte de su proceso de evaluación de riesgos de TI.

3. Crear una política de uso de datos

Por supuesto, la clasificación de datos por sí sola no es suficiente; también necesitas una política que especifique los tipos de acceso, las condiciones para el acceso a los datos basadas en la clasificación, quién tiene acceso a los datos, qué constituye un uso correcto de los datos, y así sucesivamente. No olvides que todas las violaciones de la política deben tener consecuencias claras.

4. Implementar controles de acceso

También necesita aplicar controles de acceso apropiados para restringir el acceso a sus datos, incluyendo la exigencia de autenticación para acceder a cualquier dato que no sea público. Los derechos de acceso deben seguir el principio de menor privilegio: Cada usuario recibe solo aquellos privilegios esenciales para llevar a cabo sus responsabilidades asignadas.

Los controles de acceso pueden ser físicos, técnicos o administrativos:

Controles administrativos

Los controles de acceso administrativo son procedimientos y políticas que todos los empleados deben seguir. Una política de seguridad puede enumerar acciones que se consideran aceptables, el nivel de riesgo que la empresa está dispuesta a asumir, las penalizaciones en caso de una violación, etc. La política es normalmente creada por un experto que comprende los objetivos del negocio y las regulaciones de cumplimiento aplicables. Componentes importantes de los controles administrativos incluyen:

  • Estructura de supervisión —Casi todas las organizaciones hacen responsables a los gerentes de las actividades de su personal: Si un empleado viola un control administrativo, el supervisor también será considerado responsable.
  • Formación — Todos los usuarios deben ser instruidos sobre las políticas de uso de datos de la empresa y saber que la empresa las hará cumplir activamente. Además, los usuarios deben ser reeducados y evaluados periódicamente para reforzar y verificar su comprensión. También es necesario instruir a los usuarios sobre su nivel de acceso a los datos y cualquier responsabilidad relevante.
  • Procedimiento de terminación de empleados— Para proteger sus sistemas y datos, es crítico que los empleados que se van pierdan acceso a su infraestructura de TI. Colabore con RRHH para desarrollar un procedimiento de terminación de usuario efectivo que siga estas mejores prácticas de terminación de usuario.

Controles técnicos

Almacenamiento de datos

En la mayoría de los casos, no se debe permitir a los usuarios copiar o almacenar datos sensibles localmente. En su lugar, se les debe obligar a manipular los datos de manera remota. La caché tanto del cliente como del servidor debe limpiarse a fondo después de que un usuario cierre sesión o una sesión expire; de lo contrario, se deben utilizar unidades RAM cifradas. Los datos sensibles nunca deben almacenarse en un sistema portátil de ningún tipo. Todos los sistemas deben requerir inicio de sesión e incluir condiciones para bloquear el sistema en caso de que se utilice de manera sospechosa.

Permisos

Los permisos de usuario deben otorgarse en estricta conformidad con el principio de privilegio mínimo. Aquí están los permisos básicos de archivos en sistemas operativos de Microsoft:

  • Control total — El usuario puede leer, ejecutar, modificar y eliminar archivos; asignar permisos; y tomar posesión.
  • Modificar — El usuario puede leer, escribir y eliminar el archivo.
  • Leer y ejecutar — El usuario puede leer y ejecutar el archivo ejecutable.
  • Leer — El usuario puede leer el archivo, pero no modificarlo.
  • Escribir — El usuario puede leer y modificar el archivo, pero no eliminarlo.

Las carpetas tienen los mismos permisos, además del permiso de listar contenido de la carpeta, que permite al usuario ver qué hay en la carpeta pero no leer los archivos.

Listas de control de acceso

Una lista de control de acceso (ACL) es una lista de quién puede acceder a qué recurso y en qué nivel. Puede ser una parte interna de un sistema operativo o aplicación. Por ejemplo, una aplicación personalizada podría incluir una ACL que liste qué usuarios tienen qué permisos en ese sistema.

Las ACL pueden basarse en listas blancas o listas negras. Una whitelist es una lista de elementos permitidos, como una lista de sitios web a los que se permite acceder a los usuarios utilizando computadoras de la empresa, o una lista de software de terceros que está autorizado para instalarse en las computadoras de la empresa. Una blacklist es una lista de cosas que están prohibidas, como sitios web específicos a los que no se permite acceder a los empleados o software que está prohibido instalarse en las computadoras de los clientes. 

En la gestión de archivos, las listas de control de acceso (ACL) de lista blanca son más comunes. Se configuran a nivel del sistema de archivos. Por ejemplo, en Microsoft Windows, puedes configurar permisos NTFS y crear listas de control de acceso NTFS a partir de ellos. Puedes encontrar más información sobre cómo configurar correctamente los permisos NTFS en esta lista de NTFS permissions management best practices. Recuerda que los controles de acceso deben implementarse en cada aplicación que tenga control de acceso basado en roles (RBAC), como los Active Directory groups y la delegation.

Dispositivos y métodos de seguridad

Ciertos dispositivos y sistemas te ayudan a restringir aún más el acceso a los datos. Estos son los más comúnmente implementados:

  • Prevención de pérdida de datos (DLP) — Estos sistemas monitorean estaciones de trabajo, servidores y redes para asegurarse de que los datos sensibles no sean eliminados, retirados, trasladados o copiados. También supervisan quién está utilizando y transmitiendo los datos para detectar usos no autorizados.
  • Firewall — Un firewall aísla una red de otra. Los firewalls pueden ser sistemas independientes o pueden estar incluidos en otros dispositivos de infraestructura como routers o servidores. Las soluciones de firewall están disponibles tanto en hardware como en software. Los firewalls impiden la entrada de tráfico no deseado a la red de la organización, lo que ayuda a prevenir que el malware o los hackers filtren datos a servidores de terceros no autorizados. Dependiendo de la política de firewall de la organización, el firewall podría prohibir completamente algún tipo o todo el tráfico, o podría permitir algún tipo o todo el tráfico solo después de una verificación.
  • Control de acceso a la red (NAC) — NAC implica restringir la disponibilidad de recursos de red a dispositivos finales que cumplan con su política de seguridad. NAC puede restringir dispositivos no autorizados de acceder a sus datos directamente desde su red. Algunas soluciones NAC pueden arreglar automáticamente un nodo no conforme para asegurarse de que sea seguro antes de permitir el acceso. NAC es más útil cuando el entorno de usuario es bastante estático y puede ser controlado de manera rígida, como en empresas y agencias gubernamentales. Puede ser menos práctico en entornos con un conjunto diverso de usuarios y dispositivos que están cambiando frecuentemente.
  • Servidor proxy — Estos dispositivos actúan como intermediarios cuando el software cliente solicita recursos de otros servidores. En este proceso, un cliente se conecta al servidor proxy, pidiendo algún servicio (por ejemplo, un sitio web). El servidor proxy evalúa la solicitud y luego la permite o la deniega. Los servidores proxy generalmente se utilizan para el filtrado de tráfico y la mejora del rendimiento. Los dispositivos proxy pueden restringir el acceso a tus datos sensibles desde internet.

Controles físicos

Aunque la seguridad física a menudo se pasa por alto en las discusiones sobre seguridad de datos, no implementarla podría llevar a que sus datos o incluso su red se vean completamente comprometidos. Cada estación de trabajo debe estar asegurada para que no pueda ser retirada del área. También se debe cerrar con llave cada gabinete de computadora para que sus discos duros u otros componentes de almacenamiento no puedan ser retirados y comprometidos. También es una buena práctica implementar una contraseña de BIOS para evitar que los atacantes inicien otros sistemas operativos usando medios extraíbles.

Seguridad de portátiles y dispositivos móviles

Si se pierde o roba una laptop de la empresa, las partes maliciosas pueden ser capaces de acceder a los datos en su disco duro. Por lo tanto, se debe utilizar cifrado de disco completo en cada laptop utilizada por una organización. Además, evite usar puntos de acceso Wi-Fi públicos sin antes utilizar un canal de comunicación seguro como una VPN o SSH. Las credenciales de cuenta pueden ser fácilmente secuestradas a través de ataques inalámbricos y pueden llevar a que redes enteras sean comprometidas.

Los dispositivos móviles pueden introducir virus u otro malware en la red de una organización y extraer datos sensibles de sus servidores. Debido a estas amenazas, los dispositivos móviles necesitan ser controlados con especial rigurosidad. Los dispositivos que se permiten conectar deben ser escaneados en busca de virus, y los dispositivos extraíbles deben estar encriptados.

Es importante centrar tus políticas de seguridad en torno a los datos, no en el tipo de dispositivo en el que están almacenados. Los smartphones a menudo contienen información sensible, pero suelen estar menos protegidos que las laptops, incluso cuando contienen la misma información. Todos los dispositivos móviles que puedan acceder a datos sensibles deben requerir contraseñas igualmente complejas y utilizar los mismos controles de acceso y software de protección.

Los smartphones con una cámara y micrófono de alta calidad son otra fuente común de fugas de datos. Es muy difícil proteger tus documentos de personas internas con estos dispositivos móviles, o detectar a alguien tomando una foto de un monitor o pizarra con datos sensibles. Sin embargo, aún deberías tener una política que prohíba el uso de cámaras en el edificio.

Segregación de red

La segmentación de red implica segregar una red en zonas funcionales. A cada zona se le pueden asignar diferentes reglas de Netwrix Data Classification, establecer un nivel adecuado de seguridad y ser monitoreada en consecuencia.

La segmentación limita el daño potencial de un incidente de seguridad a una sola zona. Esencialmente, divide un objetivo en muchos, dejando a los atacantes con dos opciones: Tratar cada segmento como una red separada, o comprometer uno e intentar saltar la división. Ninguna de las opciones es atractiva. Tratar cada segmento como una red separada crea una gran cantidad de trabajo adicional, ya que el atacante debe comprometer cada segmento individualmente; este enfoque también aumenta dramáticamente la exposición del atacante a ser descubierto. Intentar saltar de una zona comprometida a otras zonas también es difícil, porque si los segmentos están diseñados de manera efectiva, el tráfico de red entre ellos puede ser restringido. Aunque siempre hay excepciones —como la comunicación con servidores de dominio para la gestión centralizada de cuentas— este tráfico limitado es más fácil de identificar.

Vigilancia por video

Todas las instalaciones críticas de su empresa deben ser monitoreadas mediante cámaras de video con sensores de movimiento y visión nocturna. Esto es esencial para detectar a los intrusos no autorizados que intentan acceder directamente a sus servidores de archivos, archivos o copias de seguridad, y para identificar a cualquier persona que pueda estar tomando fotos de datos sensibles en áreas restringidas.

Bloqueo y reciclaje

Su área de trabajo y cualquier equipo en ella deben estar asegurados antes de dejarla sin vigilancia. Por ejemplo, revise puertas, cajones de escritorio y ventanas, y no deje papeles sobre su escritorio. Todas las copias impresas de datos sensibles deben estar bajo llave y luego destruidas cuando ya no sean necesarias. Además, nunca comparta o duplique llaves de acceso, tarjetas de identificación, códigos de cerraduras u otros dispositivos de acceso.

Antes de desechar o reciclar un disco duro, borre completamente toda la información de él y asegúrese de que los datos ya no puedan ser recuperados. Los discos duros antiguos y otros dispositivos de TI que contenían información crítica deben ser destruidos físicamente; asigne a un ingeniero de TI específico para manejar personalmente este proceso.

5. Implemente la gestión de cambios y la auditoría de bases de datos

Otra medida de seguridad importante es rastrear todas las actividades de bases de datos y servidores de archivos para detectar accesos y cambios en información sensible y permisos asociados. La actividad de inicio de sesión debe mantenerse por lo menos un año para auditorías de seguridad. Cualquier cuenta que exceda el número máximo de intentos fallidos de inicio de sesión debe ser reportada automáticamente al administrador de seguridad de la información para su investigación.

Utilizar información histórica para comprender qué datos son sensibles, cómo se están utilizando, quién los está utilizando y dónde ayuda a crear políticas precisas y efectivas y anticipar cómo los cambios en su entorno podrían afectar la seguridad. Este proceso también puede ayudar a identificar riesgos previamente desconocidos. Existen herramientas de terceros que simplifican la gestión de cambios y la auditoría de la actividad del usuario, como Netwrix Auditor.

6. Utilice cifrado de datos

La encriptación es una de las prácticas más fundamentales para la seguridad de los datos. Todos los datos críticos del negocio deben estar encriptados, tanto en reposo como en tránsito, ya sea a través de dispositivos portátiles o a través de la red. Los sistemas portátiles deben utilizar soluciones de disco encriptado si van a almacenar datos importantes de cualquier tipo. Encriptar los discos duros de los sistemas de escritorio que almacenan información crítica o de propiedad exclusiva ayudará a proteger la información importante incluso en el caso de que los dispositivos físicos sean robados.

Sistema de cifrado de archivos (EFS)

La forma más básica de cifrar datos en tus sistemas Windows es la tecnología Encrypting File System (EFS). Si utilizas EFS para proteger datos, los usuarios no autorizados no pueden ver el contenido de un archivo incluso si tienen acceso completo al dispositivo. Cuando un usuario autorizado abre un archivo cifrado, EFS descifra el archivo en segundo plano y proporciona una copia sin cifrar a la aplicación. Los usuarios autorizados pueden ver o modificar el archivo, y EFS guarda los cambios de manera transparente como datos cifrados. Si los usuarios no autorizados intentan hacer lo mismo, reciben un error de “acceso denegado”.

Otra herramienta de cifrado de Microsoft es BitLocker. BitLocker complementa a EFS proporcionando una capa adicional de protección para los datos almacenados en dispositivos Windows. BitLocker protege los dispositivos que se pierden o son robados contra el robo o exposición de datos, y ofrece una eliminación segura de datos cuando se da de baja un dispositivo.

Cifrado basado en hardware

La encriptación basada en hardware se puede aplicar además de la encriptación basada en software. En la configuración avanzada de algunos menús de configuración del BIOS, puedes elegir habilitar o deshabilitar un Trusted Platform Module (TPM). Un TPM es un chip que puede instalarse en una placa base y puede almacenar claves criptográficas, contraseñas o certificados. Un TPM puede utilizarse para ayudar con la generación de claves hash y para proteger smartphones y dispositivos distintos de los PC. También se puede utilizar para generar valores para la encriptación de disco completo, como BitLocker.

7. Haga una copia de seguridad de sus datos

Los activos críticos del negocio deben duplicarse para proporcionar redundancia y servir como respaldos. En el nivel más básico, la tolerancia a fallos de un servidor requiere una copia de seguridad de los datos. Las copias de seguridad son el archivado periódico de datos para que puedas recuperarlos en caso de fallo del servidor. Desde un punto de vista de seguridad, hay tres tipos principales de copias de seguridad:

  • Completo — Todos los datos se archivan. Realizar una copia de seguridad completa es muy lento y consume muchos recursos, y afectará significativamente el rendimiento del servidor.
  • Diferencial — Todos los cambios desde el último respaldo completo se archivan. Aunque no tendrán tanto impacto como los respaldos completos, todavía ralentizarán su red.
  • Incremental — Todos los cambios desde el último respaldo de cualquier tipo se archivan.

Normalmente, las organizaciones utilizan una combinación de estos tipos de copias de seguridad. Por ejemplo, podrías realizar una copia de seguridad completa cada día a medianoche, y una copia diferencial o incremental cada dos horas después de eso. Si el sistema se cae poco después de la medianoche, puedes restaurar desde la última copia de seguridad completa; si se cae más tarde en el día, necesitas usar una combinación de copias de seguridad.

Cualquiera que sea la estrategia de respaldo que elija, debe probarla periódicamente restaurando los datos de respaldo en una máquina de prueba. Otra mejor práctica clave es almacenar sus copias de seguridad en diferentes ubicaciones geográficas para asegurarse de poder recuperarse de desastres como huracanes, incendios o fallos de disco duro.

8. Utilice RAID en sus servidores

Una herramienta fundamental para la tolerancia a fallos, RAID es un arreglo redundante de discos independientes que permite que tus servidores tengan más de un disco duro, asegurando que el sistema funcione incluso si su disco duro principal falla. Los niveles principales de RAID se describen aquí:

  • RAID 0 (discos entrelazados) — Los datos se distribuyen a través de múltiples discos de manera que mejora la velocidad (rendimiento de lectura/escritura), pero no ofrece ninguna tolerancia a fallos. Se necesitan un mínimo de dos discos.
  • RAID 1 — Este nivel de RAID introduce tolerancia a fallos mediante el espejado: Por cada disco necesario para las operaciones, hay un disco espejo idéntico. Esto requiere un mínimo de dos discos y asigna el 50 por ciento de la capacidad total para datos y el otro 50 por ciento para los espejos. Al usar RAID 1, el sistema sigue funcionando en la unidad de respaldo incluso si la unidad principal falla. Puedes agregar otro controlador a RAID 1, lo que se denomina “duplexing”.
  • RAID 3 o 4 (discos entrelazados con paridad dedicada) — Los datos se distribuyen a través de tres o más discos. Un disco dedicado se utiliza para almacenar información de paridad para reducir la capacidad de almacenamiento del arreglo en un disco. Como resultado, si un disco falla, sus datos solo se pierden parcialmente. Los datos en los otros discos, junto con la información de paridad, permiten que los datos se recuperen.
  • RAID 5 (discos entrelazados con paridad distribuida) — Este nivel de RAID combina tres o más discos de manera que protege los datos contra la pérdida de cualquier disco. Es similar a RAID 3, pero la paridad se distribuye a través del conjunto de discos. De esta forma, no es necesario asignar un disco entero para almacenar bits de paridad.
  • RAID 6 (discos entrelazados con doble paridad) — Este nivel de RAID combina cuatro o más discos añadiendo un bloque de paridad adicional a RAID 5, protegiendo los datos incluso si el sistema pierde dos discos cualesquiera. Cada bloque de paridad se distribuye a través del conjunto de discos de manera que la paridad no está dedicada a ningún disco específico.
  • RAID 1+0 (o 10) — Este nivel de RAID es un conjunto de datos espejados (RAID 1) que luego se entrelazan (RAID 0), de ahí el nombre “1+0”. Piénsalo como una “tira de espejos”. Un arreglo RAID 1+0 requiere un mínimo de cuatro discos: dos discos espejados para contener la mitad de los datos entrelazados, más otros dos discos espejados para la otra mitad de los datos.
  • RAID 0+1 — Este nivel de RAID es lo opuesto de RAID 1+0. Aquí, las franjas están espejadas. Un arreglo RAID 0+1 requiere un mínimo de cuatro discos: dos discos espejados para replicar los datos en el arreglo RAID 0.

9. Utilice el clustering y el balanceo de carga.

RAID realiza un trabajo fantástico protegiendo los datos en los sistemas, los cuales puedes proteger aún más con copias de seguridad regulares. Pero a veces necesitas expandirte más allá de sistemas individuales. Conectar múltiples computadoras para que trabajen juntas como un único servidor se conoce como “clustering”. Los sistemas agrupados utilizan procesamiento paralelo, lo que mejora el rendimiento y la disponibilidad, y añade redundancia (así como costos).

Los sistemas también pueden lograr alta disponibilidad mediante el balanceo de carga. Esto le permite distribuir la carga de trabajo entre múltiples computadoras — a menudo servidores que responden a solicitudes HTTP (a menudo llamados granja de servidores), que pueden o no estar en la misma ubicación geográfica. Si se dividen las ubicaciones, se convierten en un “sitio espejo”. Esa copia espejada puede ayudar a prevenir tiempos de inactividad y añadir redundancia geográfica para permitir respuestas más rápidas a las solicitudes.

10. Refuerce sus sistemas

Cualquier tecnología que pueda almacenar datos sensibles, incluso de manera temporal, debe estar adecuadamente protegida en función del tipo de información a la que ese sistema podría tener acceso potencialmente. Esto incluye todos los sistemas externos que podrían acceder de forma remota a su red interna con privilegios significativos. Sin embargo, la usabilidad todavía debe ser una consideración, con la funcionalidad y la seguridad apropiadamente determinadas y equilibradas.

Línea base del sistema operativo

El primer paso para asegurar tus sistemas es asegurarte de que el sistema operativo esté configurado para ser lo más seguro posible. De fábrica, la mayoría de los sistemas operativos ejecutan servicios innecesarios que ofrecen a los atacantes más vías para comprometer tu sistema. Los únicos programas y servicios en escucha que deberían estar habilitados son aquellos que son esenciales para que tus empleados puedan realizar su trabajo. Si algo no tiene un propósito empresarial, debería estar deshabilitado. También puede ser beneficioso crear una imagen de sistema operativo seguro base para los empleados típicos. Si alguien necesita funcionalidades adicionales, esos servicios o programas pueden habilitarse caso por caso.

Los sistemas operativos Windows y Linux tienen sus propias configuraciones únicas de endurecimiento.

Windows

Windows es, con diferencia, el sistema operativo más popular tanto para consumidores como para empresas. Pero debido a esto, también es el sistema operativo más atacado, con nuevas vulnerabilidades anunciadas casi semanalmente. Hay varias versiones de Windows utilizadas en las organizaciones, por lo que algunas configuraciones mencionadas aquí pueden no aplicarse a todas ellas. Aquí hay algunos procedimientos que se deben realizar para mejorar la seguridad:

  • Deshabilite la autenticación LanMan.
  • Asegúrese de que todas las cuentas tengan contraseñas, ya estén habilitadas o deshabilitadas.
  • Deshabilite o restrinja los permisos en las comparticiones de red.
  • Elimine todos los servicios que no sean necesarios, especialmente los protocolos de texto claro telnet y ftp.
  • Habilite el registro para eventos importantes del sistema.

Puede encontrar más prácticas recomendadas de endurecimiento de Windows en esta Windows Server hardening checklist.

Linux

El sistema operativo Linux se ha vuelto más popular en los últimos años. Aunque algunos afirman que es más seguro que Windows, aún se deben realizar algunas acciones para fortalecerlo correctamente:

  • Deshabilite los servicios y puertos innecesarios.
  • Deshabilite la autenticación de confianza utilizada por los “r commands”.
  • Deshabilite los programas setuid y setgid innecesarios.
  • Reconfigure las cuentas de usuario solo para los usuarios necesarios.

Servidores web

Gracias a su amplia red de alcance, los servidores web son un área favorita para los atacantes para explotar. Si un atacante obtiene acceso a un servidor web popular y explota una debilidad allí, pueden alcanzar a miles (si no cientos de miles) de visitantes del sitio y sus datos. Al apuntar a un servidor web, un atacante puede afectar todas las conexiones desde los navegadores web de los usuarios e infligir daño mucho más allá de la única máquina que comprometieron.

Los servidores web originalmente eran simples en diseño, utilizados principalmente para proporcionar texto HTML y contenido gráfico. Los servidores web modernos, por otro lado, permiten acceso a bases de datos, funcionalidad de chat, transmisión de medios y muchos otros servicios. Pero cada servicio y capacidad soportada en un sitio web es un objetivo potencial. Asegúrate de que se mantengan actualizados a los últimos estándares de software. También debes asegurarte de otorgar a los usuarios únicamente los permisos necesarios para realizar sus tareas. Si los usuarios acceden a tu servidor mediante cuentas anónimas, entonces debes asegurarte de que tengan los permisos necesarios para ver páginas web y nada más.

Dos áreas particulares de interés para los servidores web son los filtros y el control de acceso a scripts ejecutables:

  • Los filtros le permiten limitar el tráfico que se permite pasar. Limitar el tráfico solo a lo que es necesario para su negocio puede ayudar a prevenir ataques. Los filtros también se pueden aplicar a su red para evitar que los usuarios accedan a sitios inapropiados o no relacionados con el trabajo. No solo esto aumenta la productividad, sino que también reduce la probabilidad de que los usuarios descarguen un virus de un sitio cuestionable.
  • Los scripts ejecutables, como aquellos escritos en PHP, Python, varias versiones de Java y scripts de Common Gateway Interface (CGI), a menudo se ejecutan con niveles de permiso elevados. Bajo la mayoría de las circunstancias, esto no es un problema porque el usuario vuelve a su nivel de permiso regular después de que se ejecuta el script. Sin embargo, los problemas surgen si el usuario puede salir del script mientras está en el nivel elevado. Para los administradores, el mejor curso de acción es verificar que todos los scripts en su servidor hayan sido exhaustivamente probados, depurados y aprobados para su uso.

Servidores de correo electrónico

Los servidores de correo electrónico constituyen la columna vertebral de las comunicaciones para muchas empresas. Generalmente funcionan como un servicio adicional en un servidor o como sistemas dedicados. Agregar un escáner de virus activo a los servidores de correo electrónico puede reducir la cantidad de virus introducidos en su red y evitar que los virus se propaguen a través de su servidor de correo electrónico. Sin embargo, es importante señalar que la mayoría de los escáneres no pueden leer los archivos abiertos de Microsoft; para escanear los almacenes de correo de Exchange, necesita un escáner AV de correo electrónico específico, algunos de los cuales incluso pueden detectar phishing y otros ataques de ingeniería social mediante aprendizaje automático.

Los servidores de correo electrónico suelen estar inundados por sistemas automatizados que intentan utilizarlos para enviar spam. Aunque la mayoría de los servidores de correo electrónico han implementado medidas contra estas amenazas, están volviéndose cada vez más sofisticadas. Puede ser capaz de reducir estos intentos de acceso a su sistema ingresando las direcciones TCP/IP de los atacantes en la lista de denegación ACL de su enrutador. Hacer esto provocará que su enrutador ignore las solicitudes de conexión de estas direcciones IP, mejorando efectivamente su seguridad. También puede configurar esta política con filtros de spam.

Servidores FTP

Los servidores de File Transfer Protocol (FTP) no están destinados para aplicaciones de alta seguridad debido a sus debilidades inherentes. Aunque la mayoría de los servidores FTP te permiten crear áreas de archivos en cualquier unidad del sistema, es mucho más seguro crear una unidad separada o subdirectorio para las transferencias de archivos. Si es posible, utiliza conexiones de red privada virtual (VPN) o Secure Shell (SSH) para actividades relacionadas con FTP. FTP es famosamente inseguro y explotable; muchos sistemas FTP envían la información de cuenta y contraseña a través de la red sin cifrar.

Para máxima seguridad operacional, utilice cuentas de inicio de sesión y contraseñas separadas para el acceso FTP. Hacerlo evitará que las cuentas del sistema se revelen a personas no autorizadas. Además, escanee regularmente todos los archivos en los servidores FTP en busca de virus.

Para facilitar el uso de FTP, la mayoría de los servidores permiten por defecto el acceso anónimo. Sin embargo, estas cuentas anónimas siempre deben estar deshabilitadas. Desde una perspectiva de seguridad, lo último que quieres es permitir que usuarios anónimos copien archivos hacia y desde tus servidores. Una vez que el acceso anónimo esté deshabilitado, el sistema requerirá que el usuario sea conocido y autenticado para poder acceder.

Pero la mejor manera de asegurar un servidor FTP es reemplazarlo por completo. La misma funcionalidad se puede encontrar en servicios más seguros como el Protocolo de Transferencia de Archivos Seguro (SFTP).

11. Implemente una estrategia adecuada de gestión de parches

Es necesario tener una estrategia de parcheo tanto para los sistemas operativos como para las aplicaciones. Puede ser tedioso asegurarse de que todas las versiones de las aplicaciones de su entorno de TI estén actualizadas, pero es esencial para la protección de datos. Una de las mejores maneras de garantizar la seguridad es habilitar las actualizaciones automáticas de antivirus y del sistema. Para la infraestructura crítica, los parches necesitan ser probados exhaustivamente para asegurar que no afecten la funcionalidad y no introduzcan vulnerabilidades.

Gestión de parches del sistema operativo

Existen tres tipos de parches para sistemas operativos, cada uno con un nivel de urgencia diferente:

  • Hotfix — Un hotfix es un parche inmediato y urgente. En general, estos representan problemas de seguridad graves y no son opcionales.
  • Parche — Un parche proporciona alguna funcionalidad adicional o una solución no urgente. A veces son opcionales.
  • Paquete de servicio — Un paquete de servicio es el conjunto completo de hotfixes y parches hasta la fecha. Estos siempre deben aplicarse.

Pruebe todos los parches antes de aplicarlos en producción para asegurarse de que la actualización no causará ningún problema.

Gestión de parches de aplicaciones

También necesita actualizar y aplicar parches a sus aplicaciones regularmente. Una vez que se descubre una vulnerabilidad en una aplicación, un atacante puede aprovecharla para ingresar o dañar un sistema. La mayoría de los proveedores publican parches de forma regular, y usted debe escanear rutinariamente en busca de los disponibles. Muchos ataques hoy en día se dirigen a sistemas de clientes por la simple razón de que los clientes no siempre gestionan la aplicación de parches de manera efectiva. Establezca días de mantenimiento dedicados a parchear y probar todas sus aplicaciones críticas.

12. Proteja sus datos de amenazas internas

A pesar de que las organizaciones continúan invirtiendo una cantidad excepcional de tiempo y dinero para proteger sus redes de ataques externos, las amenazas internas son una causa principal de la exposición de datos. Una encuesta de Netwrix encontró que los incidentes internos representan más del 60 por ciento de todos los ataques; sin embargo, muchos ataques internos no se reportan por miedo a las pérdidas empresariales y al daño a la reputación de la compañía.

Las amenazas internas se presentan en dos formas. Una amenaza interna autorizada es alguien que hace un mal uso de sus derechos y privilegios, ya sea accidentalmente, deliberadamente o porque sus credenciales fueron robadas. Un interno no autorizado es alguien que se ha conectado a la red por detrás de sus defensas externas. Esto podría ser alguien que se conectó a un enchufe en el vestíbulo o una sala de conferencias, o alguien que accede a una red inalámbrica no protegida conectada a la red interna. Los ataques internos pueden llevar a la pérdida de datos o tiempo de inactividad, por lo que es tan importante monitorear la actividad en su red tan de cerca como la actividad en el perímetro.

Insiders utilizando acceso remoto

Con los usuarios trabajando cada vez más desde casa, el acceso remoto a las redes corporativas también se está volviendo común, por lo que es crítico asegurar las conexiones remotas también. Los procesos de autenticación fuertes son esenciales al conectarse de manera remota. También es importante que los dispositivos utilizados para el acceso remoto a la red estén asegurados adecuadamente. Además, las sesiones remotas deben ser debidamente registradas, o incluso grabadas en video.

13. Utilice sistemas de seguridad de Endpoint Management para proteger sus datos

Los puntos finales de su red están bajo ataque constante, por lo que la infraestructura de seguridad de puntos finales es crucial para proteger contra violaciones de datos, programas no autorizados y malware avanzado como rootkits. Con el aumento del uso de dispositivos móviles, los puntos finales de la red se están expandiendo y volviéndose cada vez más indefinidos. Las herramientas automatizadas que residen en los puntos finales del sistema son esenciales para mitigar el daño del malware. Como mínimo, debería utilizar las siguientes tecnologías:

Software antivirus

Se debe instalar software antivirus y mantenerlo actualizado en todos los servidores y estaciones de trabajo. Además de monitorear activamente los archivos entrantes, el software debe realizar escaneos regulares para detectar cualquier infección que pueda haberse colado, como el ransomware.

Antispyware

Las herramientas anti-spyware y anti-adware están diseñadas para bloquear o eliminar el spyware. El spyware es un software de computadora instalado sin el conocimiento del usuario. Por lo general, su objetivo es obtener más información sobre el comportamiento del usuario y recopilar información personal.

Las herramientas anti-spyware funcionan de manera similar a las herramientas antivirus, y muchas de sus funciones se superponen. Algunos programas anti-spyware se combinan con paquetes antivirus, mientras que otros programas están disponibles como soluciones independientes. Independientemente del tipo de protección que utilices, debes buscar regularmente spyware, como identificar y eliminar cookies de rastreo en los hosts.

Bloqueadores de ventanas emergentes

Las ventanas emergentes son más que molestas; representan una amenaza a la seguridad. Las ventanas emergentes (incluyendo las pop-unders) son programas no deseados que se ejecutan en el sistema, por lo que pueden poner en riesgo su buen funcionamiento.

Firewalls basados en el host

Los cortafuegos personales son cortafuegos basados en software instalados en cada computadora de la red. Funcionan de manera muy similar a los grandes cortafuegos perimetrales: filtrando ciertos paquetes para evitar que salgan o lleguen a su sistema. Muchos pueden no ver la necesidad de cortafuegos personales, especialmente en redes corporativas con grandes cortafuegos dedicados. Sin embargo, esos grandes cortafuegos no pueden hacer nada para prevenir ataques internos, que, a diferencia de los provenientes de internet, suelen ser llevados a cabo por virus. En lugar de desactivar los cortafuegos personales, simplemente configure un cortafuegos personal estándar de acuerdo con las necesidades de su organización, exportando esos ajustes a otros cortafuegos personales también.

Sistemas de detección de intrusiones basados en el host (IDSs)

Los IDS de host monitorean el estado del sistema y verifican si es el esperado. La mayoría de los IDS basados en host utilizan la verificación de integridad, que opera bajo el principio de que el malware típicamente intentará modificar programas o archivos del host a medida que se propaga. La verificación de integridad intenta determinar qué archivos del sistema han sido modificados inesperadamente calculando las “huellas digitales” (detectables como hashes criptográficos) de los archivos que necesitan ser monitoreados en un estado limpio conocido. Luego realiza un escaneo, emitiendo una alerta cuando la huella digital de un archivo monitoreado cambia.

Sin embargo, la verificación de integridad solo detecta la infección por malware después del hecho y no la prevendrá.

14. Realice evaluaciones de vulnerabilidad y pruebas de penetración de ciberseguridad

Las evaluaciones de vulnerabilidad generalmente consisten en escáneres de puertos y herramientas de escaneo de vulnerabilidades como nmap, OpenVas y Nessus. Estas herramientas escanean el entorno desde una máquina externa, buscando puertos abiertos y los números de versión de esos servicios. Los resultados de la prueba se pueden contrastar con los servicios conocidos y los niveles de parcheo que se supone deben estar en los sistemas de punto final, permitiendo al administrador asegurarse de que los sistemas se adhieren a las políticas de seguridad de Endpoint.

Las pruebas de penetración son la práctica de probar un sistema, red o aplicación para encontrar vulnerabilidades de seguridad. También se pueden utilizar para probar una política de seguridad, la adhesión a los requisitos de cumplimiento, la conciencia de seguridad de los empleados y la detección y respuesta de incidentes de seguridad. El proceso puede ser automatizado o realizado manualmente. De cualquier manera, las organizaciones deben realizar pruebas de penetración regularmente — idealmente, una vez al año — para asegurar una seguridad de red más consistente y una gestión de TI.

Aquí están las principales estrategias de prueba de penetración utilizadas por los profesionales de seguridad:

  • Las pruebas dirigidas se realizan en colaboración por el equipo de TI de la organización y el equipo de pruebas de penetración. A veces se le llama enfoque de "luces encendidas" porque todos pueden ver la prueba mientras se lleva a cabo.
  • Las pruebas externas se dirigen a los servidores o dispositivos visibles externamente de una empresa, incluyendo servidores de dominio, servidores de correo electrónico, servidores web y cortafuegos. El objetivo es descubrir si un atacante externo puede entrar y hasta dónde podría llegar.
  • Las pruebas internas realizan un ataque interno detrás del cortafuegos por un usuario autorizado con privilegios de acceso estándar. Este tipo de prueba es útil para estimar cuánto daño podría causar un empleado regular.
  • Las pruebas ciegas simulan las acciones y procedimientos de un atacante real limitando severamente la información proporcionada a la persona o equipo que realiza la prueba. Por lo general, a los evaluadores de penetración solo se les da el nombre de la empresa.
  • Las pruebas doble ciego llevan la prueba ciega un paso más allá: Solo una o dos personas dentro de la organización saben que se está llevando a cabo una prueba.
  • Las pruebas de caja negra son básicamente lo mismo que las pruebas a ciegas, pero los evaluadores de penetración no reciben información antes de que se realice la prueba; deben encontrar su propio camino para ingresar al sistema.
  • Las pruebas de caja blanca (caja de cristal) proporcionan a los evaluadores de penetración información sobre la red objetivo antes de que comiencen su trabajo. Esta información puede incluir direcciones IP, esquemáticos de la infraestructura de la red, los protocolos que se utilizan y así sucesivamente.

Cómo Netwrix puede ayudar

Como hemos visto, la protección de datos abarca muchos temas y controles, lo que puede representar un desafío abrumador para cualquier equipo de seguridad. Trabajar con una empresa líder en seguridad como Netwrix puede marcar la diferencia entre el éxito y el fracaso.

Netwrix ofrece un conjunto integral de soluciones de protección de datos, incluyendo herramientas para la gobernanza del acceso a los datos, la gobernanza de la información y la protección contra ransomware. Póngase en contacto hoy mismo para saber más sobre cómo Netwrix puede ayudarle a asegurar que sus datos sensibles estén debidamente protegidos.

Solución Netwrix DAG

Minimice la probabilidad de una violación de datos identificando sus datos más críticos, limitando el número de cuentas con derechos de acceso a esos datos y manteniendo este estado para la seguridad de la información continua

Compartir en

Recursos Relacionados

Profundiza con nuestros recursos relacionados

Centro de Recursos
eBook

Facilitando la prevención de pérdida de datos con Netwrix Solutions

Prevención de Pérdida de Datos
eBook

Desplegando software en Windows: Doloroso pero no tiene que serlo

Endpoint Management