Fecha: 

8 May 2024

Autor: 

PREO AG

On-Premise vs. Cloud


Cómo una implementación coherente aumenta significativamente el nivel de seguridad

Ransomware, malware, ataques DDoS y mucho más: los mayores riesgos cibernéticos actuales se están convirtiendo cada vez más en una amenaza económica existencial para las empresas debido a sus peligros potenciales. Así lo confirmó de nuevo el año pasado el último informe sobre amenazas de la agencia de ciberseguridad de la UE, ENISA.


La expansión de los servicios e infraestructuras en la nube impulsada por los actuales avances digitales y el uso, a menudo demasiado descuidado, de productos de software basados en la nube abre nuevas puertas de entrada a los ciberdelincuentes en las redes de las empresas y crea requisitos de seguridad informática y de datos cada vez más complejos. Nuestra experiencia demuestra que, a pesar de toda la complejidad, a veces se pasan por alto medidas de seguridad sencillas y probadas. Su cumplimiento sistemático en la vida laboral diaria garantiza un aumento significativo de la ciberresiliencia.


Por ello, en esta entrada del blog hemos resumido ocho medidas ampliamente conocidas que son bastante fáciles de aplicar en una empresa. Para ello, mostramos ejemplos de por qué las empresas y las administraciones públicas con altas exigencias en materia de seguridad, soberanía y disponibilidad de datos, así como estrictas directrices de cumplimiento, en particular, confían en el uso de licencias de software de segunda mano de PREO en funcionamiento en local.


Aumentar la seguridad en TI y de los datos: ocho medidas de eficacia probada para las empresas

1. Actualizaciones y parches regulares

Lo que suele ser una cuestión de rutina suele presentar lagunas en la práctica diaria. Esto se debe principalmente a que pueden pasar rápidamente uno o varios días entre la información de que una actualización del sistema o del software está disponible y la instalación técnica. Una administración centralizada, un sistema automatizado de alerta temprana y unos procesos claramente definidos ayudan a instalar las actualizaciones y los parches disponibles para cerrar las brechas de seguridad lo antes posible.


2. Tecnologías básicas para proteger los dispositivos finales y las redes

La seguridad de las redes de la empresa con tecnologías básicas sigue siendo fundamental, en particular la seguridad integral de los dispositivos finales con un software antivirus actualizado, un cortafuegos perimetral para los puntos finales de servidores disponibles al público o un cortafuegos de aplicaciones web para las aplicaciones externas y para los portales de inicio de sesión o de administrador, protección contra malware de última generación, incluido contra el phishing, y una conexión VPN segura para todos los procesos de trabajo remotos.


3. Exigir rigor en las contraseñas

Todas las empresas deberían tener unas directrices claras sobre contraseñas seguras, que deben contener una combinación prescrita de letras, números y caracteres especiales. También puede ser útil implementar el uso de un gestor de contraseñas o la autenticación multifactor (MFA) como niveles de seguridad adicionales. Esto último se recomienda, entre otras cosas, para el uso de aplicaciones de software externas basadas en la nube para que las cuentas de los usuarios no se vean comprometidas. 


4. Formación periódica en seguridad para los empleados 

El conocimiento y su aplicación práctica en situaciones cotidianas es la clave para evitar los ataques de phishing y otros intentos de fraude. La formación periódica de directivos y empleados multiplica la concienciación sobre la ciberseguridad en la empresa. En el caso de áreas especialmente relevantes para la seguridad, esto también puede incluir ataques de prueba de incógnito con el fin de incorporar los resultados a los cursos de formación y preparar a los empleados para escenarios de amenazas específicas.


5. Asignación restrictiva de autorizaciones de acceso y privilegios de rol 

No todos los empleados de la empresa necesitan todos los derechos de acceso. La asignación moderada de derechos y privilegios a empleados individuales, grupos o unidades organizativas, así como a funciones de administrador, son una medida eficaz para prevenir eficazmente el uso indebido o descuidado de aplicaciones y recursos.


6. Seguridad de los datos mediante estrictos ciclos de copias de seguridad 

La realización de copias de seguridad periódicas y sincronizadas de todos los datos relevantes de la empresa y su respaldo, preferiblemente en una ubicación externa y separada de la red existente, garantizan que los datos puedan restaurarse rápidamente y estar disponibles en caso de ataque. Debe elaborarse un plan de recuperación con procesos y responsabilidades claramente definidos para estar preparados en caso de emergencia.


7. Desarrollo de un plan de respuesta a incidentes 

El desarrollo y la aplicación de un plan de respuesta a incidentes es otra medida importante. Contiene instrucciones claras sobre cómo proceder en caso de incidente de seguridad. El plan debe definir las funciones y responsabilidades, establecer los pasos para contener el incidente e incluir directrices de comunicación interna y externa para garantizar que todas las partes implicadas colaboran eficazmente para limitar el impacto y restablecer el estado original. 


8. Evaluación y gestión de riesgos 

Las evaluaciones periódicas de las amenazas potenciales y de las posibles lagunas de seguridad en la infraestructura informática son cada vez más importantes. Basándose en los resultados de la valoración, es aconsejable desarrollar una estrategia de gestión del riesgo. Esto establece prioridades para la minimización de riesgos abordando los escenarios de ataque más probables y dañinos y, si es necesario, ejecutándolos en escenarios de prueba reales. Además, también se puede incluir la revisión de los proveedores externos y sus prácticas de seguridad para garantizar que los socios externos cumplen las normas de seguridad de la empresa o, al menos, no las contrarrestan involuntariamente.


Seguridad de los datos en la empresa: minimizar los riesgos de la nube

Cuanto más trasladen las empresas sus procesos de trabajo a la nube, más intentarán los ciberdelincuentes atacar las vulnerabilidades potenciales de la computación en la nube. No en vano, los principales actores mundiales están invirtiendo actualmente miles de millones en sus infraestructuras en la nube para garantizar la mayor seguridad posible de los datos y la disponibilidad de sus servicios en la nube para las empresas. Sin embargo, además de los riesgos externos como la excesiva dependencia del proveedor, que puede ser problemática no sólo en términos de seguridad sino también financieros, la computación en la nube también consiste en identificar y minimizar los riesgos de seguridad internos como la expansión de la nube o las nubes en la sombra.


Con este telón de fondo, muchos responsables de TI aún se resisten a pasarse completamente a la nube y confían predominantemente en modelos de nube híbrida que siguen utilizando software en local en algunas áreas o incluso de forma predominante.  También hay un número creciente de casos en los que las empresas abandonan la nube al cabo de unos años por motivos de seguridad, soberanía y disponibilidad de los datos, así como por consideraciones financieras. En su lugar, confían en un software en local probado y eficaz y aprovechan las licencias de software de segunda mano, tal y como confirma de forma impresionante el siguiente ejemplo de una mediana empresa alemana:


Más seguridad y menos costes: Swedex confía en el software de segunda mano de PREO

La mediana empresa Swedex, con sede en Essen y uno de los principales proveedores europeos en el campo de la presentación de documentos, con unos 300 empleados, experimentó que una solución total en la nube no sólo representa un reto para la seguridad, sino que también puede dar lugar a una espiral de costes a veces difícil de calcular.


La consecuencia: La mediana empresa ya no podía tolerar el aumento dinámico de los costes y su dependencia de un gran proveedor de nubes y optó por una alternativa independiente y significativamente más barata.


El resultado: Después de tres años en la nube de Microsoft, los responsables volvieron al funcionamiento en local. Como resultado, la integración de las licencias de software de segunda mano de PREO supuso un enorme ahorro de unos 100000 euros en costes continuos de licencias. Puede encontrar más información sobre este y otros casos de clientes aquí.



Con PREO, puede confiar en un proveedor B2B experimentado y reputado

Como uno de los pioneros en el comercio europeo de licencias de software de segunda mano, en particular de Microsoft, más de 1000 empresas ya se han beneficiado de las ventajas de la integración de licencias por volumen de segunda mano en su gestión de activos informáticos, de conformidad con las normas de auditoría y cumplimiento: 


  • Gran ahorro en los costes de licencia en curso, de hasta un 70 % en comparación con la nueva versión correspondiente.
       
  • Generación de ingresos a través de la venta de licencias no utilizadas o que ya no son necesarias.

  • Más sostenibilidad en el sector TI promoviendo una economía circular activa y reduciendo la huella de CO2 de la empresa.

  • Adquisición de licencias 100 % conformes a la ley y a prueba de auditorías con la máxima transparencia en todos los pasos de la tramitación, incluida la documentación completa en el portal de licencias PREO "Easy Compliance".

  • Muchos años de experiencia en la integración de licencias de software de segunda mano en estructuras de red clásicas o modelos de licencia híbridos.

  • Conocimiento detallado del mercado y amplia experiencia gracias a la transferencia a prueba de auditorías de más de un millón de licencias de software de segunda mano.

  • Capacidades existentes de gestión de licencias de software para grandes proyectos de infraestructuras informáticas con miles de puestos de trabajo y ubicaciones transfronterizas.

  • Impresionantes proyectos de referencia para numerosas empresas medianas y grandes de una amplia gama de sectores.