Día Internacional de Internet Segura

Hoy 9 de febrero es el Día internacional de Internet Segura.
Con motivo de este día he publicado un artículo en el blog de CONASA con algunas recomendaciones para poder navegar por Internet de forma más segura.

Por no repetirme te dejo el enlace al blog para que puedas leerlo.
http://www.conasa.es/blog/seguridad/algunas-recomendaciones-en-el-dia-de-la-internet-segura/

Hoy, día 9 de febrero, se celebra el “Día Internacional de la Internet Segura”. Como ocurre con todos los “Días de …”,  no se trata de que nos preocupemos del tema en cuestión únicamente ese día, sino para que nos sirva de recordatorio para el resto del año.

En la actualidad, usamos Internet prácticamente para todo. De hecho, estás leyendo este artículo gracias a Internet. Usamos Internet tanto para el trabajo como para la vida personal. Correo electrónico, redes sociales, servicios bancarios, páginas de todo tipo que requieren registro, páginas de encuestas… Al final, cientos de sitios que visitamos en diferentes situaciones y en los que acabamos dejando o compartiendo información personal o laboral.

La mayoría de las veces, como usuarios, no nos preocupamos de quién o qué está al otro lado de esa página a la que acabamos de acceder. Y la realidad es que mucha gente hace mucho dinero con la información que cada uno compartimos de forma consciente o inconsciente.

Podríamos decir el típico consejo que se dice en estos casos,:“usa el sentido común” (aunque es cierto que a veces parece el menos común de los sentidos). Pero, por prevenir, aprovecharé este día para hacer o recordar algunas recomendaciones. No se trata de no utilizar Internet, se trata de poder movernos a través de una Internet más segura.

Si es posible, no reveles información personal.

Para empezar, una pequeña lista con datos que nunca tendremos que dejar en una web, salvo que estemos muy seguros del sitio, y que por supuesto nunca tendríamos que dejar en webs a las que hayamos accedido a través de un enlace en un email o un mensaje en WhatsApp, Facebook o  cualquier otra aplicación: nombre completo, dirección, teléfono, datos de tarjeta de crédito, datos de familiares y contraseñas.

Tampoco cuentes en redes sociales tus planes de ocio o vacaciones antes de tiempo. Podrás compartir algunas cosas después, pero no publiques información de cuando NO estarás en casa. Es posible que algún “amigo de lo ajeno” decida aprovechar que estás de vacaciones (tienes información pública) para pasar por tu casa (has publicado la dirección o fotos de tu casa) a retirar esa tele tan nueva y ese superordenador que te regalaron en navidad (y que tardaste menos de un minuto en compartirlo por Twitter).

Mantén tu sistema, antivirus, navegador de Internet y aplicaciones actualizados.

Es de sobra conocido que muchos sitios web maliciosos se aprovechan de vulnerabilidades del sistema operativo o del navegador de Internet para obtener información nuestra y de nuestros equipos (acceso a archivos, cookies, usuarios y contraseñas almacenados en el explorador de Internet, historial de navegación…).

Las actualizaciones del sistema operativo, antivirus, exploradores de internet y otras aplicaciones, no sólo añaden mejoras y nuevas funcionalidades, si no que corrigen vulnerabilidades y problemas de seguridad, o detectan nuevos virus o malware en el caso de los antivirus.

Unido a este asunto, os dejo este enlace a un post sobre navegadores seguros. Es un poco antiguo pero merece la pena echarle un ojo.

Utiliza contraseñas seguras.

Tienes que pensar que la contraseña es como la llave de la puerta de tu casa. No utilizas un cordel para cerrar la puerta de tu casa, buscas tener una buena cerradura de seguridad. Incluso doble cerradura y la puerta blindada. De igual manera no puedes utilizar contraseñas sencillas en tus sitios de Internet.

Utiliza contraseñas con mayúsculas, minúsculas, números y símbolos, y de al menos 8 caracteres. Para facilitar la tarea, existen páginas para generar contraseñas aleatorias según estos requisitos. Para hacerte una idea de qué no debes hacer, observa este artículo con las peores contraseñas de 2015.

En segundo lugar, si el sitio web lo permite (y hay muchos que lo permiten), utiliza la autenticación en 2 pasos. Con la autenticación en 2 pasos añades una capa extra de seguridad que te puede proteger de más de un susto. Generalmente, se basa en tu contraseña y en un código que suelen enviarte al móvil.

Siguiendo con el tema de las contraseñas, igual que no usas la misma llave para tu casa, para el coche, para el buzón de correo o para el candado de la bici, no es recomendable utilizar la misma contraseña en todo lo que utilizas en Internet, porque una vez que alguien consiga la llave (contraseña), tendrá acceso a toda tu información. Incluso capacidad para suplantar tu identidad.

Para terminar con el tema de las contraseñas, y posiblemente la única diferencia con la comparativa de las llaves de casas, recordar que es necesario cambiarlas de forma periódica. Si algún atacante ha conseguido un fichero con la contraseña encriptada, con suerte, para cuando consiga desencriptarla ya la habréis cambiado y no le servirá.

Otros consejos.

Y ahora algunos consejos más breves:

  • Siempre que puedas, navega por sitios seguros (https en lugar de http) y sitios de reputación conocida.
  • Ten cuidado con los adjuntos de los emails, sobre todo si no has solicitado ningún archivo.
  • Cuidado con los enlaces acortados (muy usados en Twitter), no suele quedar claro a donde te llevan.
  • Si te conectas a una wifi pública, no accedas a sitios que requieran contraseña o no consultes el email o WhatsApp desde tu móvil.
  • Mucho cuidado con las descargas de aplicaciones, cada vez hay más malware para los móviles. Muchos sitios de descargas de aplicaciones “piratas” añaden malware o utilizan vulnerabilidades del explorador para obtener datos personales.

Conclusión.

Una primera conclusión, sostentada en el sentido común: la información que no le darías a un desconocido en la calle no se la des a una página de Internet de dudosa reputación. La mayoría de los problemas y engaños los podemos evitar si estamos atentos y aplicamos las recomendaciones de seguridad.

Y otra frase que leí en alguna web. “Cuando no pagas por un producto, tú (o tu información) eres el producto.”

Puedes encontrar información y herramientas útiles en un par de páginas web muy recomendables del gobierno:

Y también son de interés estas dos páginas divulgativas:

Espero que te resulte de utilidad.

Mantén tus datos a salvo. 10 herramientas para la creación de copias de seguridad

Aquí os dejo un enlace a una nueva colaboración en el blog de mi empresa.

http://www.conasa.es/manten-tus-datos-a-salvo-10-herramientas-para-la-creacion-de-copias-de-seguridad/

Sigo hablando del tema de las copias de seguridad, en este caso de los backups personales (PCs, portátiles, …).

El primer artículo sobre el backup era muy genérico y toqué un poco más el tema de infraestructuras. Hoy, quiero centrarme en el backup puro y duro, empezando desde el más básico o personal.

Recordad que el backup es el método que utilizamos para tener duplicada (copiada) nuestra información. Aunque nos lo recuerdan muchas veces, volveré a insistir en la necesidad de tener uno o varios backups de nuestros datos y verificar que el backup es correcto y se puede recuperar.

En cuestiones de backup, lo ideal sería seguir la “regla 3-2-1” (tres copias de tus datos en dos ubicaciones diferentes, uno de los cuales tendría que estar off-site, en un lugar distinto que nuestro equipo). En el caso de los backups personales, por ejemplo, podría suponer tener los datos en nuestro equipo, en un disco externo USB y en un servicio de almacenamiento en la nube (privada o pública).

Por empezar por lo más básico, podríamos hablar de un copia/pega de ficheros de un dispositivo de almacenamiento a otro. En el ámbito personal, podríamos hablar de copiar nuestras fotos y documentos de nuestro ordenador a un disco usb externo. Esta copia podemos hacerla de forma manual o automatizada. Lógicamente recomiendo la copia automatizada, evitará despistes.

Los sistemas operativos actuales suelen tener incluida alguna utilidad para hacer copias (Robocopy, Copias con Windows 7, rsync (más información en este link)

Algunas herramientas de backup

Utilidades gratuitas

Para uso personal, hay utilidades gratuitas que funcionan francamente bien.

  • CobianBackup: Aunque no ha evolucionado desde 2012, ya que su desarrollador se dedica a otras aplicaciones en la actualidad, sigue siendo una herramienta muy cómoda para realizar backups, tanto programados como de forma manual, con un montón de opciones como comprimir el backup, separar por fechas, cifrar el backup, ejecutar tareas previas o posteriores al backup, incluso mandar el backup a un servidor FTP.
  • Genie TimeLine.

Utilidades de pago

También hay utilidades de pago muy recomendables

  • Genie Timeline Professional: La versión de pago de la aplicación anterior, con más opciones para el backup. Yo tuve oportunidad de probarla una temporada y la verdad es que me gustó mucho, hacía el backup de forma automática cuando estaba programado o cuando le conectaba el disco USB, si se había quedado pendiente. Conbackups incrementales y muy sencillo a la hora de recuperar copias o distintas versiones de un archivo.
  • Acronis:  Otra genial herramienta que hace una imagen de nuestro equipo y nos permite restaurar ficheros individualmente o todo nuestro sistema y datos tanto en el mismo equipo como en un equipo distinto (Universal Restore). Permite hacer una imagen de nuestro disco o partición en local (partición o disco de backup) o en un disco USB.

Servicios en la nube

Hablando de copias personales no podemos olvidarnos de los servicios en la nube. Servicios que suelen ofrecen un almacenamiento gratuito, muy válido para la mayoría, y que también tienen tarifas para mayor capacidad de almacenamiento o servicios extras.

  • Drive de Google: Ofrece 15GB de almacenamiento gratuito. Dispone de cliente parawindows, iOS y Android, que permite tener carpetas sincronizadas automáticamente entre el equipo y la nube. Puedes compartir carpetas y ficheros con otros usuarios y se integra perfectamente con otros servicios de Google. También puedes, por ejemplo, configurar la copia automática de las fotos y videos que realizas con tu smartphone.
  • Dropbox: Ofrece inicialmente 2GB de espacio gratuito y, al igual que Google Drive, permite compartir carpetas y ficheros con otros usuarios. Dispone de cliente paraWindows, Linux, iOS y Android. Incluso existe una versión portable del cliente paraWindows, que puedes llevar en tu unidad USB y sincronizar ficheros aunque no estés en tu equipo.
  • OneDrive de Microsoft: Al igual que Google ofrece 15GB de almacenamiento gratuito. Dispone de cliente para Windows, iOS y Android, que permite tener carpetas sincronizadas automáticamente entre el equipo y la nube. Como en los anteriores, puedes compartir carpetas y ficheros con otros usuarios. Integra el servicio de Office Web, lo que lo hace muy cómodo, incluso, para trabajar con tus documentos Officedesde cualquier explorador de Internet. Entre las opciones de pago, me parece interesante la opción de 1TB por 7€ al mes, ya que incluye Office 365.
  • Box: Con Box empezamos con 10GB de almacenamiento gratuito y, al igual que los anteriores, también dispone de cliente para Windows, iOS, Andoid (linux?). De Box me parecen interesantes las opciones que ofrece como espacio de trabajo compartido para que varios usuarios puedan trabajar con los mismos documentos desde cualquier lugar, manteniendo un backup e historial de versiones.

Soluciones para empresas

En el ámbito empresarial, existen soluciones para aquellos casos en que la información no se guarda directamente en los servidores de la empresa. He de decir que soy de la opinión de que los datos de la empresa tienen que estar en los servidores de la empresa y no repartidos en PCs o portátiles. En los servidores están más seguros (Tipo de hardware, RAIDde discos, …) y se pueden aplicar mejores políticas de backup y custodia de datos (el backupde servidores e infraestructuras irá en el próximo post). Estas soluciones «workstation» se suelen integrar con la solución global de backup de la empresa.

  • Acronis: Como he indicado anteriormente, Acronis realiza una imagen de nuestro disco duro o partición y, posteriormente, permite hacer una recuperación completa de nuestro equipo, incluso en hardware diferente (Universal Restore), o también permite hacer una recuperación granular de ficheros. Estos archivos de imagen que generaAcronis los podemos almacenar en una partición especial en nuestro equipo, en un disco externo o en una unidad de red de nuestro servidor empresarial.
    Otra opción interesante de Acronis es Acronis Backup Advanced for PC, que nos permite administrar el backup de nuestros equipos desde una consola centralizada.
  • Symantec: (System Recovery Desktop Edition y Desktop and Laptop Option) De las opciones de Symantec, me parece más recomendable Symantec Desktop and Laptop Option por las posibilidades que ifrece la herramienta de gestión centralizada deSymantec, así como alguna de sus características principales:
    • Protección de archivos automatizada: Desktop and Laptop Option automatiza la copia de los archivos de usuario en un recurso compartido de red.
    • Copia de seguridad y restauración sin conexión: cuando los usuarios no estén conectados, Desktop and Laptop Option realizará copias de seguridad de los archivos en una carpeta local a la que puedan acceder los usuarios para efectuar la restauración. Una vez restaurada la conexión, los datos serán transferidos del archivo local al recurso compartido de red.
    • Copias de seguridad optimizadas: realiza copias de seguridad de los datos de manera óptima, con eliminación de datos duplicados en el cliente y copias de seguridad incrementales, lo que minimiza el tráfico de red y ahorra mucho espacio de almacenamiento.
    • Programación: permite realizar copias de seguridad de los archivos de forma continua, programada, periódica o manual.

Con esto finalizo el post dedicado a copias de seguridad personales. En breve uno nuevo dedicado a las copias de seguridad de servidores.

 

Espero que os resulte de utilidad.

El Backup, ese gran desconocido (u olvidado)

Hola,

Hoy os dejo una nueva entrada en el blog de mi empresa (CONASA) sobre un tema que creo que es muy interesante, el Backup y la continuidad del negocio.

      El Backup, ese gran desconocido (u olvidado)

Estoy preparando varias entradas más sobre ese tema para el blog de la empresa. Os iré informando.

Este es posiblemente el primero de una serie de artículos dedicados al tema del BACKUP.

Cuando hablo del Backup no me quiero referir únicamente a la copia de seguridad, sino a todos los elementos y procedimientos que aseguren la continuidad del negocio.

Parece mentira que este sea un tema en el que hay que insistir, pero la realidad es así. Seguimos encontrando muchas empresas con una política de backup (continuidad de negocio) inadecuada e insuficiente.

Al final, parece que se confirma la frase: “existen 2 tipos de personas, los que han perdido datos y los que los van a perder”

El problema principal

Generalmente, el problema radica en que la parte de la infraestructura informática y sistemas  dedicados a la continuidad del negocio se considera un gasto en lugar de una inversión. Y se considera un gasto porque es algo que cuesta dinero y “aparentemente” no influye en la productividad de la empresa.

Me gustaría plantearos varias preguntas:

¿Cuánto tiempo puede estar tu empresa parada antes de que peligre su continuidad: una semana, un día, unas horas? ¿Cuánto dinero le cuesta a tu empresa estar parada ese tiempo? ¿Y una parada parcial? ¿Cuánto cuesta, por ejemplo, tener parado el departamento de diseño una mañana? ¿Si pierdes determinada información tendrías que cerrar la empresa?

Las respuestas a estas preguntas nos darán una base sobre la que empezar a plantear una solución que intente minimizar los riesgos ante un eventual desastre/pérdida de información y que intente asegurar la continuidad del negocio.

Yo me suelo plantear varios apartados a tener en cuenta, aunque a veces se entremezclan.

  1. Infraestructura.
  2. Backup/recuperación.
  3. Plan de actuación y formación.
  4. Soporte y mantenimiento

Acciones a replantear

Para empezar, tenemos que plantearnos eliminar los puntos de fallo de nuestra infraestructura. Esta parte, como siempre, estará limitada por el presupuesto, pero es importante.

A modo de resumen, la configuración óptima sería tener el hardware adecuado y todos los elementos redundados (duplicados).

La parte de la infraestructura, sí que es cierto que además de aportarnos seguridad, por lo general, también significará una mejora en el rendimiento de los sistemas.

La infraestructura tendrá que estar protegida frente a fallos eléctricos con un SAI  adecuado y que soporte nuestros sistemas el tiempo suficiente para al menos poder hacer un apagado controlado. En grandes infraestructuras, son planteables, incluso, grupos electrógenos que empiecen a funcionar con un corte de luz prolongado.

Además de la alimentación eléctrica, otro aspecto a tener en cuenta en nuestra infraestructura es la refrigeración. Los sistemas informáticos necesitan estar bien refrigerados para funcionar correctamente. Un exceso de temperatura nos llevará, en el mejor de los casos, a una ralentización del sistema, pudiendo llegar a un bloqueo del servidor e incluso a quemar el procesador o algún otro componente hardware.

Así mismo, hay que tener en cuenta la ubicación de los elementos. He llegado a ver Racks de servidores justo debajo del aparato de aire acondicionado, con el riesgo de que el agua que se genera por condensación caiga al Rack y provoque un cortocircuito.

Si queremos montar un servidor, que el hardware también sea de servidor, no de PC, al final es hardware más testeado y más preparado para un uso intensivo. Fuentes de alimentación redundantes, por supuesto, tarjetas de red redundantes, …

El almacenamiento también hay tenerlo en cuenta, discos en RAID, mínimo RAID1 (espejo 2 discos), y otros tipos de RAID en función de las necesidades. Discos duros adecuados. Los fabricantes de discos suelen tener varios niveles de disco, no sólo en capacidad y tipo de conexión, si no en durabilidad, que es la parte que nos interesa. http://hardzone.es/2014/01/23/comparativa-de-durabilidad-de-discos-duros-mecanicos/ Aquí se suele cumplir el dicho de “lo barato sale caro”.

En el networking lo mismo, a ser posible 2 switches, que además nos permitirán balancear cargas y mejorar el rendimiento. Si cae un switch, caerán parte de los equipos, pero no toda la infraestructura y nos permitirá continuar trabajando.

Y las comunicaciones, también duplicadas y a ser posible de distintos operadores.

Siguiendo con la redundancia podríamos llegar a la opción de tener 2 CPDs, con datos sincronizados, separados en distintas delegaciones de nuestra empresa, e incluso un tercer CPD para réplicas.

Como he comentado al principio, estas opciones son mirando un poco el ideal. Lógicamente, cada empresa tendrá que adecuarse a sus capacidades/necesidades. No requiere lo mismo una empresa con uno o 2 servidores y 10 equipos que una con 100 servidores y 2000 usuarios.

El objetivo final de un buen planteamiento de la infraestructura es estar protegidos frente a un posible fallo hardware, fallo eléctrico o desastre (incendio, inundación, …).

Reflexiones finales

Para terminar el post de hoy dejo algunas preguntas que debemos hacernos.

¿Está mi empresa preparada ante un eventual desastre? ¿Realizamos pruebas periódicas de recuperación de datos? ¿Tenemos en la empresa alguna persona designada como responsable del backup? ¿Tenemos documentados los procedimientos de recuperación ante desastres y al personal implicado formado sobre cómo realizar los procedimientos? ¿Tenemos backup en una ubicación física distinta de nuestro CPD?

Si tienes alguna inquietud acerca de cualquiera de estos aspectos, no dudes en preguntar.

 

Espero que os resulte de utilidad.