LA CIBERSEGURIDAD A UN CLIC DE TU EMPRESA

Existen grandes y conocidas empresas que basan su negocio en el tratamiento de la información de sus usuarios. Pero no debemos pensar que son las únicas que tienen que preocuparse por la protección de su información. Es un error común pensar que en el ámbito de una pequeña empresa no es tan necesaria la protección de la información de las organizaciones.

Pensemos, por ejemplo, en las tarifas o las ofertas que presentamos a nuestros clientes, las cuales nos permiten posicionarnos en el mercado o frente a la competencia, o en nuestros planes estratégicos para el crecimiento de nuestro negocio. Recapacitemos sobre las consecuencias que tendría la pérdida de la contabilidad de la organización, la cartera de clientes, la información confidencial que tenemos sobre nuestros clientes como sus cuentas bancarias o las propiedades intelectuales de nuestra empresa.

Todos estos ejemplos forman parte de la información de nuestra empresa, lo que la convierte en un activo vital que debe protegerse adecuadamente. Esto es lo que conocemos como seguridad de la Información.

Gracias al uso de la tecnología, el procesamiento y almacenamiento de grandes volúmenes de datos se ha vuelto increíblemente sencillo. En una memoria USB se podría almacenar, sin autorización para ello, gran cantidad de la información confidencial de una empresa de tamaño mediano e incluso a través de correo electrónico se podría enviar información confidencial de la empresa como la base de datos de clientes, con fines distintos a los permitidos.

Los principales errores y aciertos en el tratamiento de la información, en las organizaciones suelen ser:

– Error: Presencia de discos duros portátiles sin que la organización conozca y tenga inventariados quién los utiliza y qué información pueden tener almacenada.

– Acierto: Solicitar discos duros portátiles al departamento informático cuando sea necesario, indicando su finalidad y necesidades de seguridad.

– Error: Carpetas de red compartidas sin control de acceso.

– Acierto: Establecer un control de acceso a las carpetas compartidas en función de la necesidad y la criticidad de la información.

– Error: Usuarios que tras un cambio de puesto conservan acceso a información que, por el nuevo tipo de trabajo que van a desempeñar, no es necesario mantener.

– Acierto: Implementar una política de control de accesos a la información basado en perfiles.

– Error: Información importante de la que no se realiza copia de seguridad.

– Acierto: Identificar toda la información crítica del negocio y realizar copias de seguridad.

– Error: Usuarios que nunca saben dónde está la última versión de un documento.

– Acierto: Centralizar la información en un repositorio documental.

– Error: Falta de formación de los usuarios en las herramientas que utilizan.

– Acierto: incluir dentro del plan de formación, sesiones específicas que cubran el uso de herramientas corporativas.

 

Aunque la tecnología es un elemento indispensable de cualquier organización, debe utilizarse de forma adecuada para evitar riesgos en la gestión de la información. Por tanto, es de extrema importancia que se adopten las decisiones y medidas necesarias antes de que se produzca un incidente de seguridad de la información.

DIMENSIONES DE LA SEGURIDAD DE LA INFORMACIÓN

La seguridad de la información se articula sobre tres dimensiones, que son los pilares sobre los que aplicar las medidas de protección de nuestra información:

– La disponibilidad de la información hace referencia a que la información esté accesible cuando la necesitemos. Ejemplos de falta de disponibilidad de la información son por ejemplo cuando se sufre un ataque de denegación de servicio, en el que el sistema “cae” impidiendo accesos legítimos o la imposibilidad de acceder al correo electrónico corporativo debido a un error de configuración. Ambos tienen implicaciones serias para la seguridad de la información.

– La integridad de la información hace referencia a que la información sea correcta y esté libre de modificaciones y errores. La información ha podido ser alterada intencionadamente o ser incorrecta y nosotros podemos basar nuestras decisiones sobre ella. Ejemplos de ataques contra la integridad de la información son la alteración malintencionada en los ficheros del sistema informático mediante la explotación de una vulnerabilidad, o un la modificación de un informe de ventas por un empleado malintencionado o por error humano.

– La confidencialidad implica que la información es accesible únicamente por el personal autorizado. El término need-to-know, define que la información solo debe ponerse en conocimiento de las personas, entidades o sistemas autorizados para su acceso. Ejemplos de falta de confidencialidad, son el robo de información confidencial por parte de un atacante a través de internet, la divulgación no autorizada a través de las redes sociales de información confidencial, o el acceso por parte de un empleado a información crítica de la compañía ubicada en carpetas sin permisos asignados, a la que no debería tener acceso.

 

La evaluación de las medidas de seguridad implantadas en la organización en relación a estas tres dimensiones de la seguridad determina la dirección a seguir en la implantación y selección de medidas, también denominadas controles o salvaguardas.

También debemos tener en cuenta que la adopción de un determinado control para mejorar la seguridad en una dimensión, puede afectar de forma negativa o positiva a otra de las dimensiones, por ello, es esencial conocer cuál de estas dimensiones es más importante proteger en cada sistema de información. Por ejemplo, implantar un control de acceso para proteger la confidencialidad en un aparato médico de una sala de operaciones, puede producir un retardo en el acceso a la información afectando a su disponibilidad, lo cual no sería lo más adecuado.

SELECCIÓN DE SALVAGUARDAS

Según lo visto, nuestro propósito es escoger e implantar aquellos controles que nos ayuden a mejorar la seguridad de la información, es decir, su confidencialidad, integridad o disponibilidad, atendiendo a:

Existen múltiples ejemplos sobre la importancia de la información que manejamos. En muchos casos esta importancia será relativa a nuestro sector de negocio. Por ejemplo:

• En el ámbito sanitario se maneja un gran volumen de información personal de pacientes, a la que se debe aplicar todas las medidas de seguridad para evitar que la información se pierda, modifique o acceda sin autorización. Además suele ser necesario llevar un registro de los accesos y modificaciones.
• En el ámbito financiero se maneja información confidencial tanto de clientes como de operaciones financieras de compras y ventas de activos cuya difusión puede suponer una importante pérdida económica o un perjuicio para nuestros clientes.
• En ámbitos de carácter industrial o de desarrollo de productos, es importante velar por la confidencialidad de los procesos y procedimientos que nos pueden aportar una mejora de productividad sobre la competencia.
• Por último, en el ámbito de la hostelería y restauración se maneja, además de un volumen de datos de carácter personal muy significativo, información sobre reservas, cuya pérdida nos podría poner en una situación muy complicada con nuestros clientes.

Otro aspecto importante a considerar en la selección e implantación de controles es su tipología o naturaleza. Ésta puede ser:

– Técnica: Medidas que hacen énfasis en mejoras de carácter tecnológico dentro del ámbito de la seguridad. Son medidas técnicas un antivirus, un cortafuegos o un sistema de copias de seguridad.

– Organizativa: Medidas que se centran en la mejora de la seguridad tomando en cuenta el impacto de las personas. En este caso podemos encontrar la formación en seguridad o la implantación de procedimientos formales de alta y baja de usuarios.

– Física: Medidas físicas para proteger nuestra organización. Como por ejemplo, acondicionar adecuadamente la sala de servidores frente a riesgos de incendio, inundaciones o accesos no autorizados, establecer un sistema de control de acceso para entrar en las oficinas, poner cerraduras en los despachos y armarios o guardar las copias de seguridad en una caja ignífuga.

– Legal: Medidas que buscan el cumplimiento legal al que está sujeta la organización en el ámbito de la seguridad de la información. Por ejemplo, medidas de seguridad requeridas por la LOPD, que pueden ser técnicas, organizativas y/o físicas.

 

Resumiendo los puntos anteriores, debemos:

Existe un gran número de salvaguardas, definidas en múltiples estándares y normativas internacionales. Algunas de estas normativas, como la ISO 27001, son de carácter general, mientras que otras cubren ámbitos y propósitos específicos como por ejemplo, la continuidad del negocio.

SALVAGUARDAS BÁSICAS

Las medidas de seguridad a aplicar dependerán del tipo de sistemas a proteger, de la información que contienen, las condiciones especificas de cada emplazamiento, y las amenazas a las que se exponen. A continuación mostramos aquellas que cualquier empresa debería tener en cuenta independientemente de su actividad.

 

Control de acceso a la información

Por defecto, toda organización debe seguir el principio del mínimo privilegio. Este principio se traduce en que un usuario sólo debe tener acceso a aquella información estrictamente necesaria para desempeñar sus funciones diarias.

Para conseguir este objetivo, previo a la implementación de medidas técnicas o salvaguardas, debemos realizar los siguientes pasos:

– Definir los diferentes tipos de información que existen en nuestra organización: datos de recursos humanos, contabilidad, clientes, marketing, producción, etc.

– Establecer quién puede acceder a cada tipo de información. Para acometer esta tarea puede ser útil, si la estructura organizativa lo permite, realizar una matriz que cruce información con áreas o departamentos que tienen necesidad de acceso a dicha información.

– Establecer quién y cómo debe autorizar el acceso a los diferentes tipos de información. Es necesario responder, al menos, a las siguientes preguntas:

• • ¿Cómo se realiza la solicitud para acceder a una determinado tipo de información?, ¿a través de una aplicación de incidencias, un correo electrónico, un formulario en papel?
  • En el caso de utilizar alguno de los anteriores, ¿es suficiente con la solicitud electrónica, o es necesaria una firma manuscrita?
  • ¿Qué flujo seguirá la solicitud hasta que es autorizada o denegada?
  • ¿Quién tendrá permisos funcionales para autorizar o denegar el acceso?
  • ¿Quién realizará los cambios a nivel técnico?
  • ¿Será un acceso temporal o con permanencia en el tiempo?

Es vital escoger medios que permitan la trazabilidad y que sean proporcionales al volumen de información y tamaño de nuestra organización.

Debemos buscar un equilibrio para que, garantizando la seguridad, el acceso a una información por parte de un nuevo usuario autorizado se realice de manera ágil. Es importante evitar malas prácticas como por ejemplo, el uso de «atajos», como mover información de carpetas protegidas a otras no protegidas, que pueden acabar en un control de accesos ineficaz, con graves consecuencias en la confidencialidad de la información.

Una vez hemos establecido 1) quién y cómo debe acceder a qué información y 2) quién y cómo debe autorizar ese acceso, debemos garantizar que esto se cumple.

Para ello es imprescindible:

– Establecer mecanismos para revisar periódicamente que los permisos concedidos son adecuados, haciendo énfasis en los usuarios cuyos accesos han sido eliminados o modificados.

– No limitarse al control de acceso lógico e incluir, cuando sea necesario, controles de acceso físico.

Copias de seguridad

Las copias de seguridad son la salvaguarda básica para proteger la información. Dependiendo del tamaño y necesidades de la empresa, los soportes, la frecuencia y los procedimientos para realizar las copias de seguridad pueden ser distintos.

Algunos soportes que podemos utilizar para la realización de copias son:

El soporte escogido dependerá del sistema de copia seleccionado, de la fiabilidad que sea necesaria y de la inversión que deseemos realizar. Estas tres variables van estrechamente unidas y deben estar en consonancia con la estrategia de nuestra organización.

En la implantación de un sistema de copias debemos tener en cuenta al menos las siguientes consideraciones:

– El primer paso es analizar la información de la que se va a realizar la copia, así como los sistemas y repositorios donde se encuentra. Debemos tener en cuenta aspectos como las configuraciones de dispositivos de red, los equipos de los usuarios o incluso información en smartphones. Este paso debe permitirnos descartar información sin relación directa con el negocio o ficheros históricos de los que ya existen copias

– Debemos definir formalmente el número de versiones que vamos a almacenar de cada elemento guardado, y su periodo de conservación. Esto es lo que se conoce como política de copias de seguridad.

En esta decisión influyen las necesidades del negocio y la capacidad de almacenamiento disponible. Una recomendación podría ser la siguiente:

• Copias incrementales diarias.
• Copias totales una vez a la semana.
• Conservación de las copias totales un mes.
• Almacenamiento de la última copia total del mes durante un año.

En cualquier caso, la política dependerá de la complejidad de la organización y el volumen de los datos. Si el volumen de información es bajo, puede ser factible realizar una copia total diaria.

La principal diferencia entre la copia completa y los otros dos tipos de copia es la información que se almacena en cada iteración del proceso de copia de seguridad. En la copia total, se realiza una copia completa y exacta de la información original, independientemente de las copias realizadas anteriormente. En el caso de los sistemas de copia incremental, únicamente se copian los archivos que se hayan añadido o modificado desde la última copia realizada, sea total o incremental. En el sistema de copias diferenciales cada vez que se realiza una copia de seguridad, se copian todos los archivos que hayan sido modificados desde la última copia completa.

– Deben hacerse pruebas de restauración periódicas, para garantizar que no se producirán problemas en caso de necesitar recuperar la información. Esto es especialmente importante si no se solicitan restauraciones con frecuencia. Los sistemas de copia o los soportes pueden fallar y es fundamental detectarlo antes de que sean necesarios.

– Debe llevarse un control de los soportes de copia, mediante un etiquetado y un registro de la ubicación de los soportes. Las copias de seguridad tienen que estar en un lugar protegido, por ejemplo en un una caja ignífuga bajo llave. Esto implica también llevar el control de la vida útil de los mismos, para evitar que el deterioro físico afecte a la integridad de los datos.

– Si la información almacenada en las copias es confidencial, debemos valorar la posibilidad de cifrarlas, para evitar que ante una pérdida o sustracción de un soporte, sea posible acceder a ésta. Por ejemplo, se puede considerar información confidencial nuestros planes de negocio, la facturación de los clientes, ofertas que presentemos a clientes, datos de contabilidad, gastos y beneficios de la empresa, etc. Esta medida debe abordarse con especial cuidado para evitar la pérdida de información en caso de pérdida de las claves. Puede ser preferible que el cifrado se realice en el origen sobre archivos específicos y no en la copia de seguridad, especialmente en caso de utilizar servicios de almacenamiento “en la nube”, dado que el acceso a la información reside en un tercero.

– Debemos disponer de una copia de seguridad fuera de la organización, para evitar la pérdida de la información en caso de incendio, inundación, robo o ser víctima de un malware que rastree nuestra red buscando estas copias de seguridad. Es necesaria una selección adecuada de la localización de dichas copias. Especialmente si decidimos realizar dicho almacenamiento en nuestro domicilio y éstas contienen datos de carácter personal, podemos estar infringiendo la legislación en materia de protección de datos. De manera alternativa y más segura, existen empresas de guarda y custodia que garantizan la seguridad de los soportes que les confiemos. Si utilizamos los servicios de otras empresas, el cifrado de la información puede servirnos para evitar el acceso no autorizado en caso de robo de la información.

– Por último, se debe documentar el proceso de realización y restauración de copias. Esto permitirá agilizar el proceso de recuperación ante una contingencia o ausencia del personal habitual.

– En caso de que utilicemos el almacenamiento en la nube para las copias de seguridad, debemos considerar la posibilidad de que no podamos acceder a la información de manera temporal, por un fallo del servicio o de nuestra conexión a Internet. Adicionalmente, deben considerarse los costes implicados y leer las políticas de privacidad y seguridad del servicio, especialmente si vamos a almacenar información con datos de carácter personal.

Cifrado de información

El cifrado consiste en ofuscar la información mediante técnicas de codificación, evitando que los datos sean accesibles por cualquier persona que desconozca la clave de decodificación. Estas técnicas son la mejor opción para el almacenamiento y transmisión de información sensible, especialmente a través de soportes y dispositivos móviles, ya que:

– Permiten controlar el acceso a la información

– Limitan la difusión no autorizada en caso de pérdida o robo de soportes

Sin embargo, la pérdida de la clave de acceso imposibilita el acceso a la información. Generalmente un error físico impide la recuperación de la información independientemente de si está cifrada o no. Asimismo, la clave debe ser robusta para que dificultar el acceso no autorizado a la información.

La elección de la herramienta de cifrado dependerá de diversas variables:

– Si queremos una herramienta transparente al usuario o no.

– Si el descifrado de la información debe realizarse en cualquier lugar.

– El perfil del usuario que va a utilizar la herramienta de cifrado.

 

Debemos tener en cuenta que para cifrar la información no siempre es necesario utilizar herramientas específicas. Programas habituales como las suites de ofimática o compresores de ficheros incorporan funcionalidades de cifrado para proteger la información.

Desechado y reutilización de soportes y equipos

Antes de eliminar o reutilizar un soporte que haya almacenado información corporativa debemos aplicar las medidas de seguridad necesarias para evitar la recuperación de la información que previamente contuvieron.

Esto incluye los discos duros de los equipos, cintas de copias, discos magnéticos como CDs y DVDs, o memorias USB. A la hora de valorar los soportes de información, también debemos tener en cuenta la información que almacenamos en papel, que solemos desechar sin las adecuadas medidas de seguridad.

Almacenamiento en la nube

El almacenamiento en la nube hace referencia a los servicios de almacenamiento ofrecidos por distintos proveedores de Internet y que funcionan de manera similar a un disco duro remoto. Sus características básicas son la transparencia para el usuario y el acceso remoto desde cualquier lugar y dispositivo.

Este modelo proporciona varias ventajas:

– Reduce la necesidad de inversión en infraestructura propia.

– Permite delegar en terceros algunos aspectos que no forman parte de nuestro núcleo de negocio, como las copias de seguridad, su disponibilidad o la implantación de medidas de seguridad. Estos aspectos se controlan mediante los acuerdos de servicio con los proveedores que suelen incluir penalizaciones en caso de incumplimiento.

Sin embargo, no están exentas de riesgos:

– No debemos utilizarlas sin haber estudiado detenidamente las condiciones de uso en lo referente a las garantías de disponibilidad y confidencialidad de la información. Debemos informarnos sobre dónde acudir en caso de fallo del servicio, medidas de protección de la información, o los tiempos de indisponibilidad permitidos por contrato.

– Se debe evitar el uso sin control de estas herramientas por parte de los empleados, mediante una política corporativa y medidas técnicas. El uso de estos entornos dificulta o imposibilita el control sobre la información que se almacena en el servicio, ya que las medidas de seguridad (control de acceso, claves utilizadas, registro de accesos) no están bajo el control de nuestra organización.

– Se debe evitar el uso sin control de estas herramientas por parte de los empleados, mediante una política corporativa y medidas técnicas.

– En caso de manejar información sensible, como los datos de carácter personal de nivel alto, debemos tener en cuenta los requisitos legales existentes y no utilizar los servicios si no cumplen con la legalidad vigente.

 

No hay que olvidar que la utilización de almacenamiento en la nube implica que los datos pueden estar almacenados en cualquier lugar del mundo. Sin embargo, si contratamos este tipo de servicio para el almacenamiento para datos de carácter personal, seguiremos siendo responsables del tratamiento de los mismos y deberemos cumplir lo especificado por la Ley Orgánica de Protección de Datos (LOPD).

Además existen servicios que permiten cifrar la información, dentro del propio servicio Cloud, antes de «subirla a la nube», con las claves del servidor, a las que el usuario no tiene acceso para evitar que el proveedor o un atacante que comprometa la plataforma tengan acceso a ella. También hay otros servicios (MEGA por ejemplo) que envían los datos ya cifrados siendo el usuario el único con acceso a los mismos.

La solución más segura es cifrarlos y entonces subir la información a la plataforma Cloud.

Confidencialidad en la contratación de servicios

Cualquiera de estos servicios es susceptible de ser externalizado: creación de las copias de seguridad, almacenamiento en la nube, destrucción física de soportes, mantenimiento informático, etc. Sin embargo, esta externalización puede introducir nuevos riesgos para la seguridad de la información, derivados del acceso del proveedor a los datos.

Una medida que mitiga (pero no elimina) este tipo de riesgo es la firma de contratos de confidencialidad o inclusión de este tipo de cláusulas en el contrato de servicio. Esto compromete al prestador del servicio a no hacer un uso fraudulento de los datos, y adquiere especial relevancia si se externaliza la gestión de datos de carácter personal ya que este acuerdo es un requisito legal obligatorio.