Red de información TI para profesionales ITMedia NetWork

viernes, 29 de marzo de 2024
Actualizado a las 10:36


Búsqueda avanzada

Publicidad

Publicidad

Diez problemas de las TICs que probablemente no sabe que tiene

20 Junio 2008

Página 2 de 4 de Diez problemas de las TICs que probablemente no sabe que tiene

Las aplicaciones Web están repletas de fallos de seguridad

Aunque son ya muchas las compañías que se han puesto ‘serias’ en cuando a la implementación de parches y actualizaciones de las aplicaciones, esta práctica no cubre el perfil entero de la seguridad de aplicaciones.

La razón radica en que existen aplicaciones corporativas que se suelen descartar o ignorar en las políticas de actualizaciones y, frecuentemente, éstas contienen información sensible.

Los problemas en las empresas

Los problemas en las empresas

La topología actual de aplicaciones empresariales es mixta y está compuesta tanto por programas internos como externos. Muchos de estos programas no son más que pequeños scripts PHP o AJAX. Y estos son precisamente los que más riesgo conllevan porque son sencillos y fáciles de descifrar.

Las compañías deben tener a mano un listado de todas las aplicaciones Web y scripts que residen en la red. Asegúrese de que dispone de las últimas versiones de las aplicaciones y componentes que hay detrás de los wikis y blogs, por ejemplo. En el caso de aplicaciones customizadas, mantenga un fichero de los scripts que éstas puedan incorporar.

Esto significa la monitorización periódica de servicios de seguridad como CERT y las páginas Web o comunidades que ofrecen estos servicios. Asegurar la integridad de las aplicaciones que son un punto de entrada a la red corporativa es una inversión sin precio.

Datos no auditables

Una buena auditoría de los datos almacenados en su organización es un deber común en las industrias reguladas, pero es una tarea pendiente para muchas de las nuevas empresas. Lo que promueve estas tareas, especialmente en el sector de retail, es la llegada del PCI (industria de pago por tarjeta) Data Security Standard.

Las industrias reguladas, como son Banca, Seguros y Sanidad, están acostumbradas al proceso de auditorías periódicas y disponen de un banco de conocimientos sobre la ubicación de los datos. Sin embargo, las industrias emergentes no son tan detallistas.

Esta discrepancia en el ciclo de datos requiere una estrategia doble que asegure tanto el cumplimiento de las normas como la seguridad de la información.

En primer lugar, los responsables de TI han de colaborar con los directores de las unidades de negocio para entender las características de los datos almacenados. Empiece por el proceso más común – un punto de venta – y rastree el movimiento del dinero.

Involucre a su personal de bases de datos y aplicaciones ya que ellos son los más familiarizados con los procedimientos y movimientos de documentos de pago.

En segundo lugar, apunte en qué puntos se recopila la información, dónde se almacena y por dónde fluye.

La seguridad afecta tanto a la protección de la información como a la aplicación de parches para asegurar que las aplicaciones funcionan como deben. Una buena manera de evitar problemas de cumplimiento de normas es la implementación estricta de políticas que monitorizan cada modificación de los servidores y los dispositivos de red.

Finalmente, los responsables de TI facilitarán la financiación de estos proyectos con herramientas que recopilan información una única vez pero que, posteriormente, pueden generar distintos tipos de informes.

ShareThis

Publicidad

Publicidad

Publicidad

Opinión

Julio Campoy, Regional VP Broad Markets en Appian

El Data Fabric, clave para impulsar la digitalización del sector público

La digitalización de las organizaciones públicas es una cuestión crucial en un mundo cada vez más conectado y avanzado tecnológicamente. Para Julio Campoy, vicepresidente de Appian, una transformación esencial para facilitar y simplificar tanto los procesos internos como para los que se dirigen a los ciudadanos y en la que el Data Fabric cobra singular importancia

techWEEK info

TechWEEK forma parte de la red de información TI para profesionales de IDG Communications.


Sitios especializados de ITMedia NetWork: IT CIO.es, IT PYMES.es, IT SEGURIDAD.es, Strategic Partner, NUEVAempresa.com.

ITMedia NetWork. © 2006 - 2024 Information Technology & Media S.A. (CIF A-84950211). Todos los derechos reservados.

Envío de artículos por email de techWEEK.es

Por favor, introduzca la siguiente información











Cerrar

Envío de artículos por email de techWEEK.es

Procesando envíos...

Envío de artículos por email de techWEEK.es

Email enviado. Cerrar

Envío de artículos por email de techWEEK.es

Error en el envio. Pulse aqui para cerrar.Cerrar