Se trata de saber que programas hay instalados en cada equipo, con que licencias están instalados y revisar minuciosamente si todo esta correctamente instalado. Tener controlado todo este inventario de software es fundamental para la pyme puesto que en el caso de que algo se nos escape supondrá un agujero de seguridad incontrolado que no sabemos que resultado tendrá.

La AEPD incoa expedientes sancionadores por encontrar ficheros en redes de intercambio p2p de forma habitual. No es la primera vez ni la última que esto se produce porque alguien ha tenido la feliz idea de instalar un programa de intercambio de ficheros para obtener tal o cual programa, dejando expuestos con ellos los datos de la empresa, que luego no podrá culpar al trabajador de la negligencia y tendrá que afrontar su responsabilidad en la custodia de los datos.

Pero es que el problema va más allá, puesto que muchas veces lo que nos ocurre es que hemos de reinstalar un ordenador y si no tenemos controlado que software tenía instalado, que licencias tenía este equipo, etc. la tarea de la reinstalación se puede volver una locura. Se trata de tener un fichero que nos diga en cada momento que tenemos instalado en nuestros equipos.

Por todas estas razones es conveniente plantearse realizar la auditoría del software de forma periódica en los equipos de nuestra empresa. Si disponemos de programas de auditoría, recomendables cuando el número de equipos es grande, será relativamente sencillo. En el caso de empresas pequeñas la tarea la podemos llevar a cabo de forma sistemática y organizada y no será necesario dichos programas de sofware.

En Tecnología Pyme | BSA nos ofrece herramientas de auditoría informática

El primer paso para conseguir un entorno informático a prueba de ataques es saber cuales son las vulnerabilidades de nuestro sistema. Aunque las actualizaciones periódicas del software que proporcionan los fabricantes ayudan bastante, éstas no siempre funcionan o no están adecuadamente configuradas, por lo que no está demás utilizar soluciones que analicen la seguridad de nuestra instalación. Es el caso de Land Guard, un software de la empresa GFI que realiza una auditoría de seguridad en los equipos de la red local.

Este software analiza todos los equipos conectados a la red, detecta las posibles puertas de entrada de infecciones o problemas de configuración y descarga las actualizaciones pertinentes para cada sistema operativo, siendo capaz de instalarlas automáticamente una vez finalizado el análisis de los ordenadores.

Por otro lado, puede también realizar una auditoría del hardware (memoria, procesadores, adaptadores gráficos, dispositivos de almacenamiento, detalles de placa base, impresoras y puertos en uso) y del software instalado en cada equipo, detectando si está autorizada su instalación y avisando de ello o procediendo a su eliminación de forma automática.

Este tipo de herramientas son interesantes para empresas que utilizan una cierta cantidad de equipos, pero por el ahorro de tiempo que proporcionan también resultan prácticas en negocios algo más pequeños en los que en encargado del mantenimiento de los ordenadores disfruta de “pluriempleo”, un caso muy habitual en buen número de pymes.

LANguard funciona en sistemas operativos Windows y tiene un coste de 32 euros por cada equipo que queramos incluir en el análisis, aunque ofrecen de forma gratuita la herramienta para cinco ordenadores, como muestra de apoyo del fabricante a la mala situación actual de muchas pymes, todo un detalle con el que obtienen una magnífica publicidad a la vez que dan a conocer su producto.

Vía | TICpymes
Más información | GFI

El Real Decreto 1720/2007, Reglamento de desarrollo de la LOPD, dice en su artículo 96:

1. A partir del nivel medio los sistemas de información e instalaciones de tratamiento y almacenamiento de datos se someterán, al menos cada dos años, a una auditoría interna o externa que verifique el cumplimiento del presente título.

En este caso, al igual que comentaba respecto al Documento de Seguridad, una pyme habrá de valorar con prudencia las alternativas de confección de esta auditoría, ya que el Reglamento autoriza a que sea la propia empresa quien realice el oportuno estudio (“auditoría interna o externa”), pero eso no le rebaja el nivel de exigencia, ya que como indica el mismo artículo en el párrafo 3:

Los informes de auditoría (...) quedarán a disposición de la Agencia Española de Protección de Datos o, en su caso, de las autoridades de control de las comunidades autónomas.

Ya sea porque se ha decidido la opción interna, o para revisar el encargo externalizado, conviene repasar en qué consiste y de que se compone la auditoría en protección de datos.

El artículo 96 del Reglamento señala:

2. El informe de auditoría deberá dictaminar sobre la adecuación de las medidas y controles a la Ley y su desarrollo reglamentario, identificar sus deficiencias y proponer las medidas correctoras o complementarias necesarias. Deberá, igualmente, incluir los datos, hechos y observaciones en que se basen los dictámenes alcanzados y las recomendaciones propuestas.

Por lo tanto la primera fase consistirá en recopilar información acerca del grado de mantenimiento y cumplimiento del Documento de Seguridad, y en especial de los apartados Funciones y Obligaciones del Personal; Almacenamiento de la información; Registros de incidencias, accesos, copias de seguridad, salida de soportes y en general todos los listados de los Anexos comentados en el post anterior, con especial atención a la relación de usuarios autorizados y al inventario de soportes.

Con esta información se procederá a la redacción del informe, que deberá dictaminar sobre:

• Adecuación de las medidas y controles establecidas a lo dispuesto en el Título VIII del Reglamento.
• Identificación de deficiencias y propuesta de medidas correctoras o complementarias. Incluirá los datos, hechos y observaciones en que se basen los dictámenes alcanzados y recomendaciones propuestas.
• Será analizado por el responsable de seguridad, y elevará sus conclusiones al responsable del ficheros para que adopte las medidas adecuadas.
• Deberá quedar a disposición de la Agencia Española de Protección de Datos.

Por lo tanto se trata no sólo de revisar los aspectos documentales (que tenemos en orden y actualizados todos los papeles) sino de comprobar las políticas activas de la compañía a todos los niveles, para evitar que el cumplimiento de la LOPD (que es continuo puesto que en ningún momento se puede dejar de utilizar datos de carácter personal) se “olvide” con el paso del tiempo.

Como hemos dicho, esta auditoría deberá repetirse cada dos años, pero el Reglamento indica además:

Con carácter extraordinario deberá realizarse dicha auditoría siempre que se realicen modificaciones sustanciales en el sistema de información que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas con el objeto de verificar la adaptación, adecuación y eficacia de las mismas. Esta auditoría inicia el cómputo de dos años señalado en el párrafo anterior.

La auditoría en protección de datos en un requisito de obligado cumplimiento para toda pyme que almacene datos de carácter personal de nivel medio o alto, pero además es una excelente oportunidad para revisar todos los procedimientos y políticas implantadas en una área tan sensible para cualquier empresa como es la protección de datos.

En Tecnología Pyme | LOPD: Guías prácticas y conceptos básicos

Esta es una buena iniciativa promovida por Camerdata, empresa participada por varias Cámaras de Comercio, y empresas de diseño y promoción de sitios web.

Qweb certifica gratuitamente ante nuestros visitantes, que nuestro sitio web se adecua a una serie de requisitos de calidad para que los principales buscadores de contenido nos incluyan y mejoremos nuestro ranking en ellos.

Al proponer el sitio web de nuestra empresa, estos realizarán una auditoría donde nos propondrán las mejoras necesarias, si hubiese que hacerlas, y si todo resulta correcto nos proporcionarán un sello que aparecerá indicándo que nuestro sitio es de calidad para los buscadores.

Para no quedar solo en un servicio de certificación, ofrecen un directorio de empresas certificadas o en proceso de certificación, mostrando incluso los defectos del sitio web.

Después de exponer este servicio podemos reflexionar varios aspectos:

Es una iniciativa atractiva, como todas las que normalmente nos ofrecen como gratuitas. Teniendo a una empresa como Camerdata detrás, le aporta un plus de seriedad que otros muchos servicios no tienen.

Aporta calidad a las web de las empresas, ya que existe alguien objetivo que nos dice que algunos aspectos no están bien, y deberiamos majorarlos para tener una buena presencia en internet.

El que se ofrezca un directorio de empresas, y que empresas de diseño y posicionamiento web estén implicados en este servicio nos indica que la gratuidad está muy bien pagada, porque estas empresas se ofrecerán al desarrollo de las mejoras del sitio web, y porque no, a promocionarla.

Página oficial | Qweb.es