Instituto Nacional de ciberseguridad. Sección Incibe
Protege tu empresa. Sección empresas

Día Internacional de la Seguridad de la Información. El control de accesos.

Fecha de publicación 29/11/2018
Autor
INCIBE (INCIBE)
Día Internacional de la Seguridad de la Información. El control de accesos.

Desde el año 1988, cada 30 de noviembre, se celebra el Día Internacional de la Seguridad de la Información, bajo el nombre de Computer Security Day. Se trata de una iniciativa de la Association for Computing Machinery (ACM), cuyo objetivo es concienciar de la importancia de proteger la información a través de una serie de medidas de seguridad en los sistemas y entornos en los que se opera. 

Desde Protege tu Empresa de INCIBE hemos puesto de manifiesto en multitud de ocasiones que la información es el principal activo con el que cuenta cualquier organización, con independencia del sector en el que opere. Carteras de clientes, datos sensibles como por ejemplo los bancarios, datos confidenciales en el sector sanitario o en el ámbito de los menores, etc. La información debe ser protegida y debemos tomar conciencia de ello. 

¿Quién maneja la información en mi organización?

Esta debería ser la primera pregunta que nos tendremos que hacer antes de poner en marcha las medidas orientadas a garantizar la seguridad de la información. 

Para ello, tendremos que determinar quién tendrá permisos para acceder a la información, cómo, cuándo y con qué finalidad. Y para establecer este control de accesos habrá que tener en cuenta aspectos como la, cada vez mayor, descentralización de la información entre equipos, redes remotas o de terceros o el uso de dispositivos móviles en centros de trabajo que en ocasiones son de propiedad privada del empleado (BYOD).

Principales medidas 

Política de usuarios y grupos. Se trata de definir una serie de grupos que tendrán acceso a una determinada información, teniendo en cuenta los siguientes aspectos:

  • área o departamento al que pertenece el empleado;
  • tipo de información a la que tendrá acceso;
  • operaciones que podrá realizar sobre la información que tenga acceso.

Asignación de permisos. Establecer perfiles de usuario y a qué grupos pertenecerán. Además, habrá que concertar qué acciones podrán realizar sobre la información: creación, lectura, borrado, modificación, copia, etc. Como norma general, se otorgará el mínimo privilegio a la hora de establecer estos permisos. 

Creación, modificación y borrado de las cuentas de usuario. Deberá existir un procedimiento para realizar estas acciones con las cuentas de los usuarios. A la hora de crear una cuenta a un usuario, deberá detallarse qué acciones se le permiten así como dotarle de unas credenciales de acceso que le serán entregadas de forma confidencial. Además, se le informará de la política de contraseñas de la organización, que deberán ser robustas y cambiadas cada cierto tiempo. 

Cuentas de administración. Son las más delicadas ya que cuentan con los permisos necesarios para realizar cualquier acción sobre los sistemas que administran. Por lo tanto, habrá que tener en cuenta una serie de aspectos como los siguientes:

  • únicamente utilizarlas cuando sean necesarias labores de administración;
  • utilizar el doble factor de autenticación para acceder como administrador;
  • registrar todas las acciones mediante un registro de logs;
  • evitar que los permisos de administración sean heredados;
  • utilizar contraseñas robustas y cambiadas cada cierto tiempo;
  • someterlas a auditorías periódicas.

Mecanismos de autenticación. Se deberá definir e implantar los mecanismos de autenticación más adecuados a la hora de permitir el acceso a la información de nuestra empresa. 

Registro de eventos. Es necesario que todos los eventos relevantes en el manejo de la información queden registrados convenientemente, reflejándose de manera inequívoca quién accede a la información, cuándo, cómo y con qué finalidad. 

Revisión de permisos. Se deberán realizar revisiones periódicas de los permisos concedidos a los usuarios.

Revocación de permisos y eliminación de cuentas. Si finaliza la relación contractual con un trabajador, será imperativo revocar sus permisos, eliminar sus cuentas de correo y sus accesos a repositorios, servicios y aplicaciones. 

El primer paso para preservar la integridad de la información será establecer una política de seguridad que gestione el control de los accesos a la misma. Aprovechando el Día Internacional de la Seguridad de la Información, queremos incidir en la importancia de proteger el principal activo que maneja cualquier  organización. Para ello, tendremos que controlar quién accede a la información, cómo, cuándo y para qué.