Al implementar la seguridad, las compañías pequeñas y medianas se enfrentan a retos únicos y deben tener en cuenta varias consideraciones:
• Los servidores pueden asumir varias funciones en las compañías que tienen recursos limitados. Es posible aplicar fácilmente varias plantillas de seguridad a un servidor pero pueden entrar en conflicto. Cuando un servidor realiza varias funciones, es más difícil protegerlo. Además, un servidor que lleva a cabo varias funciones está más expuesto a un ataque. Si se produce una infracción en la seguridad, todas las funciones que realiza ese servidor se pueden ver comprometidas.
• Si una compañía tiene recursos limitados, es posible que no pueda proporcionar los componentes necesarios para una solución segura. Disponer de varios servidores de seguridad y ofrecer una alta disponibilidad son ejemplos de elementos caros que podrían no resultar financieramente factibles.
• El compromiso interno de los sistemas, ya sea de forma malintencionada o accidental, supone un alto porcentaje de los ataques. Los intrusos suelen encontrar que sus ataques son más fáciles de realizar si tienen acceso interno a la red (ya sea personal o por medio de un cómplice voluntario o involuntario).
• Los departamentos de tecnología de la información (IT) más pequeños pueden carecer de personal con la experiencia apropiada en seguridad. Esto puede provocar que se pasen por alto algunos problemas de seguridad. En esta situación, el uso de plantillas de seguridad estándar puede ser beneficioso.
• El acceso físico a un sistema anula muchas medidas de seguridad. El acceso físico puede permitir a un intruso ejecutar utilidades, instalar programas dañinos, cambiar configuraciones, quitar componentes y ocasionar daños físicos.
• Las infracciones de seguridad pueden tener consecuencias legales. Dependiendo del estado o país que tenga jurisdicción sobre la organización, una compañía puede enfrentarse a responsabilidades legales derivadas de una infracción en la seguridad de sus servidores. Algunos ejemplos de dicha legislación incluyen Sarbanes Oxley, HIPAA, GLBA y California SB 1386.
• Los sistemas más antiguos podrían no admitir configuraciones de seguridad si no se actualizan. Si esos sistemas no se actualizan, el riesgo de una infracción de la seguridad es mayor que en los sistemas más actuales.
No hay comentarios:
Publicar un comentario