1. Manuales
  2. La seguridad informática en la PYME - Situación actual y mejores prácticas

La seguridad informática en la PYME Situación actual y mejores prácticas

  • Acceso ilimitado 24/7
  • Todos los libros online de ENI
  • Novedades todos los meses
  • Acceso 100% online
  • Disponible
  • Envío gratis a partir de 25 € de compra
  • Versión online gratis
  • Acceso gratuito a todos nuestros libros online durante 1 hora por toda compra
  • Consulta inmediata
  • Versión HTML online
  • Acceso ilimitado 24/7

Presentación

Este libro sobre la seguridad informática en la pequeña y mediana empresa (PYME) se dirige a los administradores de sistemas y redes y, en general, a toda persona llamada a participar en la gestión de las herramientas informáticas en este contexto (jefe de empresa, formador...).

El autor identifica los riesgos que hacen que la empresa sea vulnerable: amenazas externas (Internet) o internas, software malicioso y ataques que afectan al sistema de información. Presenta las limitaciones en términos de competitividad y cara a cara con la conformidad con las regulaciones que imponen a los responsables de la empresa la protección de sus datos almacenados o transferidos. Ya que hoy en día el sistema de información se extiende en gran medida fuera de las fronteras de la empresa, el libro tiene en cuenta los nuevos modelos tecnológicos como son el uso de terminales móviles tipo Smartphone, el Cloud Computing y los objetos que imponen la aplicación de nuevas estrategias de protección.

Para cada tema el autor recopila un inventario de los riesgos, detalla soluciones efectivas para poner en práctica y propone recomendaciones pertinentes en relación con la criticidad de la información, el contexto de la empresa y su tamaño. En efecto, distintas tecnologías existentes tanto en la parte del sistema como la red demandan una gestión empleando prácticas sencillas y un mínimo de sentido común para garantizar la integridad, confidencialidad y la disponibilidad de datos y aplicaciones.

Sensibilizar al lector en el contexto de estos aspectos de la seguridad le ayudará a controlar mejor las herramientas de que dispone, en particular para la gestión de acceso a los servidores, los puestos de trabajo y los terminales móviles. Las recomendaciones descritas en este libro abarcan los ámbitos de red, sistemas de copia de seguridad y las soluciones de recuperación de la actividad de negocio.

La supervivencia de la empresa está al nivel de las precauciones adoptadas y del conocimiento de las nuevas tecnologías.


Los capítulos del libro:
Introducción – Seguridad informática: aspectos generales – La seguridad en la empresa - La red – La seguridad en la empresa - Los sistemas – Movilidad y seguridad – La seguridad de los datos – El plan de contingencia informática – El Cloud Computing – Internet de los objetos o Internet of things – La sensibilización a la seguridad en la empresa – Anexo

Índice

  • Introducción
  • Seguridad informática: aspectos generales
    • 1. Introducción
    • 2. Los dominios y regulaciones asociadas
      • 2.1 Las mejores prácticas ITIL V3
        • 2.1.1 La estrategia del servicio (Service Strategy)
        • 2.1.2 El diseño de los servicios (Service Design)
        • 2.1.3 La transición del servicio (Service Transition)
        • 2.1.4 La operación del servicio (Service Operation)
        • 2.1.5 La mejora continua del servicio (Continual Service Improvement - CSI)
        • 2.1.6 La gestión de la configuración (Configuration Management)
        • 2.1.7 La gestión de la disponibilidad (Availability Management)
        • 2.1.8 La gestión de seguridad (Security Management)
      • 2.2 El método PDCA o rueda de Deming
      • 2.3 La norma ISO 20000
      • 2.4 Las normas ISO 270xx
    • 3. Los riesgos informáticos
      • 3.1 Definiciones
      • 3.2 Las vulnerabilidades
      • 3.3 Las amenazas y sus impactos
      • 3.4 La gestión del riesgo informático
    • 4. La política de seguridad
      • 4.1 Los principios
      • 4.2 La elaboración del documento
      • 4.3 Las herramientas asociadas
    • 5. Los principales ejes de la estrategia de seguridad
      • 5.1 El diagnóstico y la evaluación de las necesidades
      • 5.2 Los planes operativos de seguridad
      • 5.3 El acceso a los sistemas y los datos
        • 5.3.1 La protección física
        • 5.3.2 La protección lógica
        • 5.3.3 Identificación y trazabilidad
      • 5.4 La garantía de la disponibilidad del sistema de información
      • 5.5 La sensibilización de los usuarios a la seguridad
    • 6. La seguridad y los aspectos legales
    • 7. Conclusión
  • La seguridad en la empresa - La red
    • 1. Requisitos previos
    • 2. Generalidades sobre la seguridad en las redes
      • 2.1 Introducción a la tecnología firewall
      • 2.2 Las funcionalidades del firewall
      • 2.3 Los diferentes tipos de cortafuegos
      • 2.4 Elección de un dispositivo de firewall para la empresa
      • 2.5 La política de configuración del firewall
      • 2.6 Estrategia de implementación de firewall
        • 2.6.1 Las reglas en un firewall
        • 2.6.2 Guía de mejores prácticas para implementar entornos de firewall
        • 2.6.3 Los firewall específicos
        • 2.6.4 La alta disponibilidad en la implementación de firewalls
      • 2.7 Las redes DMZ (Zona DesMilitarizada)
    • 3. Las redes privadas virtuales empresariales
      • 3.1 Presentación
      • 3.2 El servidor VPN
      • 3.3 Las categorías de VPN
        • 3.3.1 Las VPN usuario-sitio
        • 3.3.2 Las VPN sitio-sitio
      • 3.4 Precauciones de uso de la funcionalidad de VPN y mejores prácticas
      • 3.5 Los protocolos vinculados a la seguridad
    • 4. Los componentes utilizados en las redes y la seguridad
    • 5. Los sistemas de detección y prevención de intrusión
    • 6. Los servidores DNS (Domain Name Service)
    • 7. Otras tecnologías utilizadas en las redes empresariales y la seguridad
      • 7.1 El Wi-Fi y las conexiones inalámbricas
      • 7.2 La tecnología PLC (Power Line Comunication)
  • La seguridad en la empresa - Los sistemas
    • 1. Objetivos
    • 2. La disponibilidad de datos y sistemas
      • 2.1 Conceptos y principios
      • 2.2 La disponibilidad de los datos
        • 2.2.1 La tecnología RAID (Redundant Array of Inexpensive Disks)
        • 2.2.2 La red de almacenamiento SAN (Storage Area Network)
        • 2.2.3 La tecnología NAS (Network Attached Storage)
      • 2.3 La disponibilidad de los sistemas
        • 2.3.1 Los clústeres de servidores Windows
        • 2.3.2 La virtualización de sistemas
        • 2.3.3 La virtualización y la replicación de los servidores
        • 2.3.4 La virtualización del almacenamiento
    • 3. La disponibilidad de la infraestructura
      • 3.1 Energía eléctrica
      • 3.2 Red de comunicaciones
    • 4. Identificación y autenticación
      • 4.1 Definiciones
      • 4.2 Implementación de sistemas de identificación y autenticación
      • 4.3 Mecanismos de control de acceso
        • 4.3.1 Controles de acceso lógico
        • 4.3.2 Controles de acceso interno
        • 4.3.3 Controles de acceso externos
        • 4.3.4 Administración de los controles de acceso
        • 4.3.5 Las herramientas o soluciones de control de acceso
      • 4.4 La firma digital o firma electrónica
      • 4.5 Infraestructura de cifrado de claves públicas
      • 4.6 La implementación de una infraestructura de cifrado de claves públicas
    • 5. Seguridad física y de entorno
    • 6. Las protecciones contra los virus y programas maliciosos
      • 6.1 Los virus
      • 6.2 Otros programas malinencionados
    • 7. Las mejores prácticas de seguridad en el marco de un sistema de información
      • 7.1 Las mejores prácticas generales
      • 7.2 La gestión de las cuentas
        • 7.2.1 Consejos a los administradores
        • 7.2.2 Las mejores prácticas para la gestión de cuentas y contraseñas para los usuarios
      • 7.3 Los mecanismos de control y de verificación
        • 7.3.1 Los mecanismos de control de acceso
        • 7.3.2 Los controles de acceso lógico
        • 7.3.3 Revisiones y auditorías
        • 7.3.4 Las anomalías
        • 7.3.5 La disponibilidad de los sistemas
      • 7.4 La protección de los servidores
      • 7.5 La protección de los puestos de trabajo
      • 7.6 La protección de los dispositivos de impresión de documentos
      • 7.7 Mejores prácticas de seguridad dirigidas al administrador del sistema y de la red
        • 7.7.1 Caso de las contraseñas de administración de servidores
        • 7.7.2 Centralización de las contraseñas
      • 7.8 Ejemplos de herramientas de control de actualización de las protecciones de Windows
      • 7.9 Seguridad física de los accesos a la consola de los sistemas
      • 7.10 Documentación de configuración de la infraestructura
      • 7.11 La vigilancia tecnológica
    • 8. Mejores prácticas de administración específicas de Windows
      • 8.1 Política de bloqueo de cuenta
      • 8.2 La política de seguridad de acceso externo a través de Kerberos en las plataformas Windows
      • 8.3 Protocolo de autenticación por defecto en Windows Server 2008/2012
      • 8.4 El cifrado o encriptación de los sistemas de archivos de Windows
      • 8.5 Política de auditoría de acceso a las cuentas y a los archivos
  • Movilidad y seguridad
    • 1. ¿ A qué llamamos «móvil» o «terminal itinerante» ?
    • 2. Los terminales itinerantes: problemas específicos
      • 2.1 El origen de estos problemas
      • 2.2 Las principales amenazas y vulnerabilidades
        • 2.2.1 Las amenazas
        • 2.2.2 Las vulnerabilidades
        • 2.2.3 El BYOD (Bring Your Own Device)
      • 2.3 Los impactos
      • 2.4 Principios de respuesta a las amenazas
    • 3. Las mejores prácticas
      • 3.1 Consejos para el usuario
        • 3.1.1 La protección física
        • 3.1.2 La protección lógica o aplicativa
        • 3.1.3 Instalación de aplicaciones
        • 3.1.4 La seguridad de las funcionalidades e interfaces radio (Wi-Fi, Bluetooth)
        • 3.1.5 La seguridad de las conexiones inalámbricas (sistemas móviles, Wi-Fi)
      • 3.2 Requisitos y consejos para la empresa
      • 3.3 Implementación de una solución de seguridad
      • 3.4 Algunos dispositivos de protección
    • 4. Conclusión
  • La seguridad de los datos
    • 1. Los riesgos de pérdida de datos
    • 2. El respaldo y la restauración
      • 2.1 Conceptos generales
        • 2.1.1 Definiciones
        • 2.1.2 La política de respaldo
        • 2.1.3 La copia de seguridad
        • 2.1.4 El archivado
        • 2.1.5 La restauración
      • 2.2 Los métodos generales de copia de seguridad
        • 2.2.1 La copia directa
        • 2.2.2 La copia en entornos de red
      • 2.3 Los tipos de respaldo más frecuentes
        • 2.3.1 La copia de respaldo completa (Full Backup)
        • 2.3.2 La copia normal
        • 2.3.3 La copia parcial
        • 2.3.4 La copia de seguridad definida por el usuario
        • 2.3.5 La copia de seguridad remota (electronic vaulting) o en línea
        • 2.3.6 La copia de seguridad sintética
        • 2.3.7 Comparación de los tipos de copia de seguridad
        • 2.3.8 Ventajas e inconvenientes de los diferentes tipos de copia de seguridad
      • 2.4 Los dispositivos de copia de seguridad
      • 2.5 Los soportes de respaldo
      • 2.6 La gestión de los soportes y dispositivos en la aplicación de copia de seguridad
        • 2.6.1 Criterios de selección
        • 2.6.2 Gestión de los soportes y los grupos de medios
        • 2.6.3 Ciclo de vida de los soportes
        • 2.6.4 Formateo de los soportes
        • 2.6.5 Soporte de cintas de limpieza
        • 2.6.6 Protección de los datos escritos en los soportes
        • 2.6.7 Recomendaciones para la gestión de las cintas magnéticas
      • 2.7 Las copias de soportes (clonación)
      • 2.8 Las copias de seguridad en discos, la biblioteca virtual
        • 2.8.1 La copia de disco a disco a cinta
        • 2.8.2 La biblioteca virtual de copias de seguridad o VTL (Virtual Tape Library)
      • 2.9 La utilización de la arquitectura SAN para el almacenamiento virtual
      • 2.10 Las claves para un buen respaldo
      • 2.11 La base de datos de respaldo
        • 2.11.1 El concepto
        • 2.11.2 Copia de seguridad de la base de datos
      • 2.12 Las notificaciones
      • 2.13 Las máquinas virtuales y su estrategia de respaldo
      • 2.14 La gestión de la seguridad a nivel de las copias de seguridad
        • 2.14.1 La seguridad de los datos almacenados
        • 2.14.2 Dispositivos adicionales de gestión de la seguridad
      • 2.15 Concepto de snapshot o instantáneas
    • 3. La restauración de los datos
      • 3.1 Observaciones relativas a la restauración
      • 3.2 Las distintas opciones de restauración de archivos
        • 3.2.1 Restauración bajo demanda
        • 3.2.2 Restauración de un sistema operativo completo de un servidor
    • 4. La estrategia de copia de seguridad
      • 4.1 Elementos de reflexión para la creación de una estrategia de copia de seguridad
        • 4.1.1 La ventana de copia de seguridad
        • 4.1.2 La periodicidad de los respaldos
        • 4.1.3 La duración de retención de los datos copiados
        • 4.1.4 El tipo de soporte de copia de datos
      • 4.2 Las especificaciones de copias de seguridad
        • 4.2.1 Creación de una especificación de copia de seguridad
        • 4.2.2 Los cálculos de necesidades de almacenamiento
        • 4.2.3 Captura de necesidades para diseñar un sistema de respaldo operativo
    • 5. El archivo de datos
      • 5.1 Estrategia de archivo
      • 5.2 Archivo legal y a largo plazo
    • 6. La administración y supervisión de las copias de seguridad
      • 6.1 Administración diaria
      • 6.2 Verificación de las sesiones
      • 6.3 Gestión de la base de datos del software de respaldo
    • 7. Plan de recuperación del servidor de respaldo
    • 8. La tecnología Drive Backup 11 Server
    • 9. Otros productos disponibles
  • El plan de contingencia informática
    • 1. Introducción
    • 2. La preparación ante desastres
      • 2.1 Enfoques posibles
      • 2.2 Restauración
      • 2.3 Selección de objetivos prioritarios
      • 2.4 Determinación del presupuesto disponible
      • 2.5 Determinación y análisis de riesgos
      • 2.6 Las soluciones de emergencia
    • 3. Consideraciones técnicas para la elaboración de planes de contingencia
      • 3.1 Puestos de trabajo fijos y portátiles
        • 3.1.1 Consideraciones de precauciones y mejores prácticas
        • 3.1.2 Las copias de seguridad
        • 3.1.3 Los riesgos específicos de los equipos itinerantes
      • 3.2 Los servidores
        • 3.2.1 Consideraciones sobre precauciones de seguridad y mejores prácticas
        • 3.2.2 Soluciones y precauciones de emergencia
        • 3.2.3 Soluciones específicas
      • 3.3 Las redes locales (LAN) y de área extensa (WAN)
        • 3.3.1 Las mejores prácticas
        • 3.3.2 Las soluciones de precaución y de emergencia
        • 3.3.3 Las redes inalámbricas o WLAN (Wireless Local Area Networks)
        • 3.3.4 Los sistemas distribuidos (arquitectura cliente-servidor)
    • 4. Guía para la elaboración de un plan de recuperación de desastres en prevención de un siniestro
      • 4.1 Objetivos generales
      • 4.2 Estado de los lugares actuales
        • 4.2.1 Elementos críticos de la infraestructura
        • 4.2.2 Inventario y diagnóstico del estado de la seguridad
        • 4.2.3 Arquitectura de copia de seguridad
        • 4.2.4 Equipos redundantes o de alta disponibilidad
        • 4.2.5 Equipo y software de emergencia
      • 4.3 Análisis de las necesidades de negocio
        • 4.3.1 Análisis del impacto sobre la actividad
        • 4.3.2 Determinación de los períodos de interrupción aceptables
      • 4.4 Los escenarios de riesgo
      • 4.5 Elaboración del plan de recuperación de desastres
        • 4.5.1 Optimización de la infraestructura existente
        • 4.5.2 Análisis de las soluciones y opciones generales
        • 4.5.3 Elección del sitio de respaldo o de emergencia
        • 4.5.4 Otras soluciones técnicas de recuperación
      • 4.6 Implementación de los recursos
        • 4.6.1 Evaluación de los medios
        • 4.6.2 Soluciones técnicas del sistema y red
        • 4.6.3 Medios técnicos externos
        • 4.6.4 Limitaciones de los proveedores externos
        • 4.6.5 Elemento humano
      • 4.7 Elaboración de procedimientos
        • 4.7.1 Procedimientos de explotación
        • 4.7.2 Procedimientos de recuperación
        • 4.7.3 Documentación
      • 4.8 Las pruebas funcionales
      • 4.9 La gestión del seguimiento del plan
    • 5. La virtualización de servidores en la estrategia del plan de emergencia
    • 6. Ejemplo de proyecto de implementación de un PRA
    • 7. La norma ISO/IEC 22301:2012
    • 8. La norma ISO/IEC 27031
  • El Cloud Computing
    • 1. Principios
      • 1.1 Los modelos o soluciones
      • 1.2 Los distintos modos de implementación
      • 1.3 Las ventajas del Cloud Computing
      • 1.4 El Cloud Computing interno en una empresa o Cloud privado
    • 2. El Cloud Computing y sus riesgos
      • 2.1 Comprender los riesgos del Cloud Computing
      • 2.2 Los problemas identificados en la actualidad
      • 2.3 Los riesgos ocultos del Cloud Computing
      • 2.4 Las amenazas y vulnerabilidades específicas
      • 2.5 Los riesgos organizativos relacionados con el uso del Cloud Computing
        • 2.5.1 Los riesgos generales
        • 2.5.2 Los riesgos técnicos
        • 2.5.3 Los riesgos legales
        • 2.5.4 Los riesgos externos al Cloud Computing
    • 3. Mejores prácticas de seguridad
      • 3.1 Etapa preliminar
      • 3.2 Estado de los lugares
      • 3.3 Análisis de riesgos
      • 3.4 Conformidades requeridas
      • 3.5 El proveedor
        • 3.5.1 La elección
        • 3.5.2 Verificación en el proveedor
      • 3.6 El contrato y los niveles de servicio
      • 3.7 La gestión de incidentes
      • 3.8 El acceso y el cifrado de datos
      • 3.9 La copia de seguridad
      • 3.10 La gestión de la continuidad de negocio
      • 3.11 Etapa de seguimiento y mantenimiento
      • 3.12 La salida del Cloud Computing
    • 4. Conclusión
  • Internet de los objetos o Internet of things
    • 1. Introducción
    • 2. Presentación de la tecnología
      • 2.1 Definición
      • 2.2 Los desafíos
      • 2.3 Los dominios del Internet de los objetos
    • 3. Los sectores afectados por la seguridad
      • 3.1 Las redes
      • 3.2 Las tecnologías de objetos comunicantes
    • 4. Tomar en cuenta las nuevas amenazas y los nuevos riesgos
      • 4.1 Amenazas generales de los dispositivos móviles
      • 4.2 Los requerimientos de seguridad
      • 4.3 Amenazas específicas que puedan afectar a las redes WSN (Wireless Sensor Networks)
      • 4.4 Amenazas particulares que pueden afectar a estas tecnologías
        • 4.4.1 Amenazas que afectan en particular a la tecnología RFID
        • 4.4.2 Amenazas específicas de la tecnología NFC
      • 4.5 Amenazas que afectan a los datos
      • 4.6 Las vulnerabilidades
      • 4.7 Otros riesgos específicos
    • 5. Evaluación de riesgos
    • 6. Propuestas de soluciones de seguridad
      • 6.1 Mejores prácticas
      • 6.2 Recomendaciones de implementaciones de medidas de seguridad
        • 6.2.1 La tecnología WSN
        • 6.2.2 La tecnología RFID
        • 6.2.3 La tecnología NFC
      • 6.3 Estrategias globales de la seguridad de una infraestructura
    • 7. Conclusión
  • La sensibilización a la seguridad en la empresa
    • 1. Objetivo
    • 2. El comportamiento
    • 3. La sensibilización
    • 4. La carta de buena conducta
  • Anexo
    • 1. Sitios web
    • 2. Organismos relacionados con la seguridad
    • índice

Autor

Jean-François CARPENTIERMás información

Jean-François CARPENTIER es ingeniero en sistemas de información desde hace casi 30 años. Ingeniero diplomado del estado (DPE), ejerció su actividad dentro de grandes cuentas de la industria y servicios y ha trabajado en ámbitos técnicos y funcionales de sistemas en entornos complejos. Muy pendiente de los nuevos conceptos tecnológicos colabora en línea con grupos de profesionales sobre los aspectos de la seguridad de los sistemas de información.

Características

  • Nivel Iniciado a Medio
  • Número de páginas 436 páginas
  • Publicación mayo 2016
    • Encuadernación rústica - 17 x 21 cm
    • ISBN: 978-2-409-00180-2
    • EAN: 9782409001802
    • Ref. ENI: DPT3SEC
  • Nivel Medio a Experto
  • Publicación mayo 2016
    • HTML
    • ISBN: 978-2-409-00181-9
    • EAN: 9782409001819
    • Ref. ENI: LNDPT3SEC