Conozca los tres documentos que debes tener para contratar pruebas de seguridad informática.

En este post te voy a hablar acerca de los documentos que debes contemplar cuando contratas pruebas de seguridad informática, adicionalmente, te voy a recomendar lo mínimo que debe contener cada uno de ellos para proteger la información digital de tu organización. 

  • Contrato: este documento contiene el alcance, tiempo y costo del proyecto, debe contener, adicional a los datos marco de un contrato, temas como: quien cubrirá los costos adicionales que se generen como lo son tiquetes, viáticos, hoteles, servicios informáticos, servicios de terceros, servicios en la nube, hardware, software, licencias y equipos electrónicos. Adicionalmente, temas acerca de demandas por uso de software pirata, pago de empleados y acceso no autorizado a redes de terceros. Estos temas varían de acuerdo con cada proyecto y puede llegar a contemplar asuntos particulares de un sector, como por ejemplo pruebas PCI.
  • Acuerdo de confidencialidad: Este documento es sumamente importante, ya que protege a la organización acerca del uso de la información confidencial a la que pueda llegar a tener acceso la empresa contratada. Debe tener asuntos contemplados como responsabilidad en el caso de que se revele información confidencial ante terceros o se haga uso de la misma para obtener algún beneficio.
  • Autorización de trabajo: en este documento se debe dejar consignado a quien se va a autorizar para realizar las pruebas, desde donde se va a conectar y por cuanto tiempo estará vigente la autorización. De igual forma, se debe dejar consignado que está y que no está permitido hacer durante el periodo de tiempo que dure las pruebas, por ejemplo, si está autorizado el realizar pruebas de negación de servicio o acceder a sistemas fuera del alcance del proyecto, entre otros. 

Este es el contenido mínimo recomendado que debe contener cada uno de los tres documentos para proteger la información digital de tu organización, puede adicionar o modificar tantos temas como los creas conveniente. El acuerdo de confidencialidad y la autorización de trabajo pueden estar contenidos dentro del contrato del proyecto. 


By - No hay comentarios:
Labels: , , ,

Cinco preguntas que te debes hacer cuando hablas de backups

En este post te voy a dar cinco recomendaciones que debes tener en cuenta cuando desarrollas un plan de backup ya sea para una organización pequeña o mediana. 

  • ¿A que le debo hacer backup?: la respuesta parece trivial y se puede responder de forma fácil como: a toda información que es necesaria y crítica para el desarrollo de la empresa, entre ellos están los archivos digitales o físicos, las bases de datos, información en la nube entre otros.
  • ¿Dónde debo almacenar el backup?: las mejores prácticas recomiendan dos en sitio uno fuera de sitio este puede ser un datacenter alterno, una oficina alterna, la nube, un tercero capacitado para ello, todo esto siempre y cuando estén en una ciudad diferente.
  • ¿Que tan frecuente debo hacer backup?: Tan frecuente como lo necesite, es decir, cuanto tiempo en datos estás dispuesto a perder en caso de que se presente un incidente.  Revisa el término RPO en el post anterior.
  • ¿Que software debo utilizar?: en este punto te sugiero en la medida de las posibilidades que elijas un software propietario debido a las ventajas sobre el software gratuito como lo es el poder definir el tipo de backup (completo, incremental o diferencial), backup cifrado, múltiples usuarios entro otras.
  • ¿Backup en la nube o en sitio?: actualmente el costo del backup en la nube se ha reducido a tal punto que es viable económicamente el contemplar esta alternativa. Te recomiendo el tener las dos opciones, en sitio y en la nube, no está de más el tener redundancia con la información vital de la organización. 

Ten en cuenta que los backups siempre deben estar cifrados, esto evitará que personas no autorizadas se hagan con la información de la empresa, adicionalmente guarda en un lugar seguro las contraseñas de acceso a todos los backups especialmente las copias históricas.

En los próximos posts trataremos temas como los tipos de backups, frecuencia, retención y seguridad.  

By - No hay comentarios:
Labels: , , , , ,

Cinco tips claves de un plan de recuperación de desastres.

En este post te voy a enseñar cinco tips que debes tener en cuenta cuando desarrollas un plan de recuperación de desastres. 

  1. RPO es el tiempo entre el último backup y la ocurrencia del desastre, es decir, el tiempo expresado en datos que estás dispuesto a perder. Cuando el valor de esta variable es muy bajo, deberás de ejecutar copias de respaldo con mayor frecuencia pudiendo incluso llegar a almacenar en duplicado los datos. 
  2. MTD, corresponde al tiempo de inactividad máxima tolerable para un proceso. Entre menor sea esta variable, más rápido debes garantizar la recuperación del servicio lo cual va a elevar los costos de recuperación, ya que puedes llegar a contemplar el uso de un datacenter alterno.  
  3. RPO y MTD van a influenciar en la tecnología y ubicación que selecciones para recuperar la operación. A mejor tecnología y mejor ubicación más rápida la recuperación. Con la tecnología actual puedes llegar a tener un datacenter alterno en la nube.
  4. Debes tener especial cuidado en sí la tecnología donde se va a restaurar los datos es temporal o permanente, nueva u obsoleta, ya que de ello puede llegar a depender la estabilidad del servicio restaurado. 
  5. Entre menos datos estés dispuesto a perder y más rápido quieras el servicio en operación más costoso va a ser el proceso de recuperación.
Ten a la mano estos tips cuando estés desarrollando en proceso de recuperación, ya que ellos te van a aportar conocimiento para que tomes buenas decisiones. 


By - No hay comentarios:
Labels: , , , , , , , ,
Suscribirse a: Entradas (Atom)