Cómo proteger los activos digitales de su empresa en 2023

diciembre 21, 2022

Muy a menudo  Nos encontramos con empresas, especialmente startups y pymes, que no tienen control sobre sus activos digitales. Simplemente porque fue creado por un empleado que ya no está en la organización, o no fue devuelto al silo digital de la empresa, lo que genera un impacto en el tiempo, los costos y el control del negocio y, en ocasiones, plantea cuellos de botella durante situaciones muy cruciales cuando es necesario un cambio. Para los negocios el tiempo es dinero y cualquier cosa que pueda hacerte perder tiempo, en efecto es CRÍTICA. La motivación y el propósito de escribir este artículo surgen de esta necesidad de definir una “Lista de verificación de higiene para la gestión de activos digitales”, de modo que usted, como empresa, no cometa el mismo error y pueda estar mejor equipado para el mismo.

Dado que el contexto de los activos digitales puede ser enorme, permítanme limitarme a los que pertenecen a las aplicaciones web y móviles que usted ejecuta, y dejemos de lado cualquier otro activo digital por el momento, como activos de TI, activos físicos digitales, etc. 

Cuáles son los activos digitales que utilizan las aplicaciones web y cuál es la mejor manera de gestionar la propiedad de estos. ¿Cuáles son las preguntas que debe saber como propietario de una empresa cuando posee estos activos digitales y cuáles son lo que se debe y no se debe hacer aquí?

  • Alojamiento y DNS

Su aplicación puede alojarse en un entorno de alojamiento compartido como GoDaddy, o en un alojamiento VPS dedicado como DigitalOcean o Linode, o en un entorno de nube como AWS Ec2 o Azure. Sea cual sea el entorno, es importante que la cuenta ROOT del hosting sea propiedad de un correo electrónico empresarial común, con autenticación de 2 factores vinculada a un número de móvil que pertenezca a la empresa. Las partes interesadas de la empresa deben recibir TODAS las notificaciones de la cuenta de hosting en todo momento, porque si hay fallas de facturación durante 3 meses consecutivos, su cuenta puede cancelarse o los datos eliminarse y es un ENORME riesgo. Básicamente el correo electrónico configurado aquí tiene que ser MONITORIZADO en todo momento, y los datos son demasiado críticos si no lo haces.

Y tan importante como el control sobre el hosting, es el control sobre el DNS o proveedor de nombre de dominio (Podría ser GoDaddy, Mercaba o cualquier otro). La cuenta principal con el registrador de dominios debe estar en el correo electrónico comercial común, incluido el número de teléfono móvil vinculado a ella para la autenticación de 2 factores. Las notificaciones de vencimiento de nombres de dominio deben configurarse correctamente para que reciba alertas oportunas y deben realizarse un seguimiento para evitar tiempos de inactividad o interrupciones inesperados.

  • Su aplicación web e interfaces API 

La aplicación web estará en su entorno de alojamiento, pero es importante saberlo.

  1. ¿Cuántas instancias estás ejecutando y por las que te facturan?
  2. ¿Cuál es la pila técnica que ejecuta cada instancia? Por ejemplo, si PHP o Nodo o Reaccionar o una combinación de pila para backend y frontend. 
  3. ¿Dónde está alojada la base de datos y cuántas bases de datos está ejecutando?
  4. ¿Cuáles son las integraciones de terceros para la aplicación? ¿Tiene control de las cuentas utilizadas para cada una de ellas?
  5. ¿La aplicación utiliza algún otro servicio como Elastic Search, S3 o cualquier otro que se cobre/facture adicionalmente y sobre qué base se factura? 
  6. Lo más importante es quién tiene acceso al entorno de alojamiento, cómo se controla y cuál es el proceso utilizado para otorgar/revocar el acceso. Lo ideal sería que NUNCA debería compartir el inicio de sesión de la cuenta raíz; la mejor manera es agregar usuarios/invitarlos a usar la cuenta como un tipo específico de usuario según el nivel de acceso requerido. O brinde acceso a un nivel ssh o específico para el trabajo que se debe realizar.

  • Base de código de aplicación web

Es importante siempre que ejecutes una web o aplicación movil que tiene una cuenta de repositorio de código fuente mantenida para su empresa, ya sea GitHub o Bitbucket o servicios similares. El correo electrónico utilizado para crear la cuenta DEBE ser propiedad de la empresa y, para cada proyecto, se puede otorgar a los desarrolladores el nivel de acceso requerido. Debe haber un proceso para agregar usuarios/revocar usuarios según las entradas/salidas de los proyectos. Y también es posible otorgar acceso de lectura a alguien para que vea el código, si desea trabajar con una nueva empresa de desarrollo y darle acceso para verificar el código.

Para protección adicional, es bueno agregar una capa adicional de protección para la rama maestra/principal que tiene el código de producción, de modo que requiera aprobación para cualquier fusión de código en esta rama y proteger la rama contra eliminación, etc. Si ve formas de habilite la protección de sucursales para Git, obtendrá buena información al respecto.

  • Integraciones de terceros

La mayoría de las aplicaciones web tienen muchas integraciones de terceros en estos días, siendo las más comunes Google Maps, Google Analytics, pasarelas de pago, pasarelas de SMS para validación OTP, Mailchimp para suscripciones a boletines, etc. Es importante asegurarse de que todas las cuentas utilizadas por la empresa son del correo electrónico empresarial común, con autenticación de 2 factores vinculada a un número de móvil que pertenece a la empresa. También garantizar que todas las claves API utilizadas para la integración se generen con el nombre del proyecto específico y se entreguen al equipo de desarrollo/integración. Será un problema si permite que los desarrolladores usen sus cuentas, creen estas credenciales y permitan su uso, incluso en los casos de un mapa de Google o un servicio gratuito. En algún momento, la empresa necesitará cambiar a las cuentas pagas según el uso, y será complicado cambiar o actualizar la cuenta sin problemas.

  • Google Analytics, inicios de sesión sociales u otros

Es bueno planificar e integrar siempre análisis en todos los activos digitales que ejecuta, especialmente si están orientados al cliente. Y la empresa debe ser propietaria de la cuenta de Google Analytics que usaría, de la misma manera que la empresa debe ser propietaria de todas las cuentas de redes sociales que utiliza para todas sus integraciones.

  • Copias de seguridad e instantáneas

Aunque las copias de seguridad y las instantáneas son parte de la estrategia de alojamiento, dependiendo del tipo de alojamiento, es importante comprobar si las tienes disponibles en todo momento. Plataformas en la nube como AWS y Azure, mantienen instantáneas, pero no todos los proveedores de hosting pueden mantener copias de seguridad de datos continuas, y siempre es una buena estrategia mantener copias de seguridad REMOTAS periódicas.

Cuando se trata de aplicaciones móviles

  • Credenciales de PlayStore y Apple Store

Estas son credenciales utilizadas por los desarrolladores para publicar las aplicaciones en Google Play Store o App Store de Apple, y deben ser propiedad de la empresa y no permitir que los desarrolladores usen las suyas propias. De esa manera, siempre tendrá control sobre los análisis y las actualizaciones de las aplicaciones, y recibirá notificaciones sobre cualquier versión obsoleta y actualización que pueda ser necesaria para las aplicaciones. Los respectivos desarrolladores pueden tener acceso solo mediante invitación a los proyectos en los que trabajan y no se necesita nada más aquí. 

  • Notificaciones push – Credenciales

La mayoría de las aplicaciones móviles utilizan un servicio de terceros para notificaciones automáticas, por ejemplo Firebase u otros. Cualquiera que sea el que utilice, es importante tener control sobre la cuenta que se utiliza aquí.

  • Base de código de aplicación móvil

Base de código de aplicación móvil como aplicaciones web La base del código debe mantenerse en una herramienta de control de versiones de código como Git o BitBucket. Aquí también se aplicarán las mismas reglas aplicables para la gestión del código web. 

En esta era, no podemos tomar los activos digitales a la ligera, ya que son el sustento del negocio en todo momento y es extremadamente importante entender cómo protegerlos y salvaguardarlos en todo momento. Lo anterior es solo un comienzo, desde una perspectiva de higiene y de lo que hay que hacer y, a medida que profundizamos, hay mejores prácticas y estándares adicionales que se pueden seguir. ¡Pero la VERIFICACIÓN más importante es asegurarnos de que tenemos esto implementado para empezar!

QUIERES CONSULTAR CON NOSOTROS….CONTÁCTENOS ¡AHORA!

es_MXSpanish