El líder tecnológico Sage está constantemente introduciendo mejoras que hagan a sus soluciones ser más robustas ante posibles ataques que tengan como propósito el acceso no autorizado a la información que es manejada desde los aplicativos. Estos accesos no autorizados pueden tener un impacto que pase por la filtración de información, hasta la destrucción de datos o la introducción de información falsa.
Garantizar la seguridad de todo el sistema requiere de la puesta en marcha de mecanismos que fortifiquen diferentes aspectos de este, como la base de datos, el sistema de comunicaciones, o la propia seguridad de los accesos remotos. En este artículo vamos a introducir algunas buenas prácticas que podemos poner en marcha en Sage 200, que serían complementarias con otras que se adopten en otras áreas del sistema.
Evitar las contraseñas por defecto
Teniendo en cuenta que Sage 200 utiliza un sistema de autenticación basado en un usuario y una contraseña, debemos evitar usar contraseñas por defecto. El propósito es evitar que un usuario pueda deducir la contraseña para contraseñas que no se hayan restablecido. Es bastante común que se asignen contraseñas por defecto en el alta de un usuario y nunca se cambien. Esto facilita el trabajo a un posible atacante que, posiblemente, empezaría por ahí en su intento por vulnerar la seguridad.
Asignar contraseñas robustas
De la misma forma, es recomendable utilizar contraseñas robustas que dificulten un intento de acceso por fuerza bruta. Evitar palabras como todo o parte del nombre, fecha de nacimiento, cadenas comunes como ‘1234’, ‘qwerty’ y similares. Los usuarios tendemos a utilizar estas contraseñas porque nos resultan fáciles de recordar. Pero también pueden ser utilizadas por un atacante para intentar acceder a tu sesión. Procura utilizar contraseñas que mezclen letras mayúsculas, minúsculas, números y algún carácter especial.
Evitar el intercambio de credenciales
En las empresas suele ocurrir que alguien quiera entrar en el programa con las credenciales de un compañero, para hacer alguna tarea que no pueda realizar en ese momento en su nombre o con su configuración. Especialmente durante ausencias y por razones de urgencia. Es en ese caso cuando, puntualmente, un usuario comparte su contraseña con un compañero para que pueda hacer esa función por él. Una vez pasada la urgencia, ya no es necesario ese acceso, pero el compañero aún dispone de ella. Además, este podría contárselo a un tercero, y es entonces cuando perdemos el control sobre quién puede acceder con nuestra contraseña. Para ello, habría que tratar de no compartir la contraseña; pero en el caso de que fuese totalmente imprescindible, una vez terminado el acceso, cambiarla para que sigamos siendo nosotros quienes controlemos quién accede con nuestras credenciales.
Contenido recomendado:
La seguridad informática es cosa de todos
Seguridad informática y cloud en las pymes españolas
Establecer criterios de caducidad de las contraseñas
Sage provee mecanismos para hacer que las contraseñas caduquen. En ocasiones, las contraseñas se filtran, o se comparten, por alguna razón. Si esta nunca se cambia, alguien que la haya conseguido podría acceder siempre con nuestras credenciales. Con estos mecanismos, acotamos esto en el tiempo. Hay que tener en cuenta que, en muchas ocasiones, cuando un atacante accede a unas credenciales, no ejecuta el ataque en ese mismo momento, sino que espera un momento propicio para llevarlo a cabo. Utilizando esto, un atacante se podría encontrar que, cuando llegue el momento del ataque, las credenciales con las que contaba ya no le valgan, y no lo pueda llevar a cabo.
Evitar el uso de perfiles de administración
También es común que se tienda a dar perfiles de administración a varios usuarios, o incluso a todos. Esta práctica a veces se hace con la idea de simplificar, o liberarse, de la gestión de la propia seguridad del aplicativo; de esta forma, los usuarios trabajan con credenciales de administración mientras no están haciendo labores de administración. Cada una de estas credenciales es un riesgo, porque, en el momento en que se filtre una de ellas, el atacante tendrá acceso a todos los recursos del sistema. Es recomendable que todos los usuarios que realicen labores operativas tengan un usuario con privilegios acordes a la labor que realicen, y sin incluir funciones de administración. Deberían existir cuentas limitadas de administración que solo se usen para labores de administración.
Establecer políticas de copia de seguridad y revisiones
Finalmente, si un usuario malicioso ha conseguido acceder al sistema y ha realizado daños en el mismo, deberíamos contar con un protocolo de gestión de copias de seguridad que nos permita restablecer los datos a un momento lo más cercano en el tiempo posible. Es una cuestión de vital importancia. Algunos consejos:
- Realizar copias de seguridad fuera del sistema ya que podría dañarse el sistema donde reside Sage 200, lo que podría provocar que las copias también estuviesen dañadas y haría inviable una recuperación de la información.
- Mantener más de una copia en el tiempo; ya que podríamos requerir recuperar datos de hace varios días, podríamos darnos cuenta de inconsistencias varios días después de que se produzca el problema.
- Revisar, regularmente, el estado de salud de las copias: que se hacen y que son correctas. Si no lo revisamos, podría pasar que el proceso falle y cuando haga falta restaurar la copia, no la encontremos, o esté corrupta y sea irrecuperable.
Si aplicamos estas técnicas, se trabajará en un sistema más seguro y fiable. Reforzar la seguridad de los accesos a Sage 200 no es solo una medida preventiva, sino una inversión esencial en la protección de datos y operaciones críticas de tu empresa. Implementar prácticas robustas de gestión de contraseñas, como la creación de claves fuertes, el cambio periódico de las mismas y el uso de autenticación de múltiples factores, son pasos fundamentales para salvaguardar tu sistema contra accesos no autorizados y brechas de seguridad. ¿Necesitas una solución digital que contenga funcionalidades de protección de dato? ¡En Opentix tenemos ERPs, CRMs, soluciones financieras… para todo tipo de empresas! ¡Rellena el formulario y te informaremos!
Deja tu comentario