Instituto Nacional de ciberseguridad. Sección Incibe
Protege tu empresa. Sección empresas

Protege tu información con los dispositivos de almacenamiento extraíbles.

Fecha de publicación 13/09/2018
Autor
INCIBE (INCIBE)
Protege tu información con los dispositivos de almacenamiento extraíbles.

Dispositivos como memorias USB, discos duros portátiles y tarjetas de memoria, conforman lo que se conoce como dispositivos de almacenamiento extraíbles que permiten realizar transferencias de información de manera rápida y directa. Son un complemento de gran utilidad en nuestro trabajo diario, pero que a su vez, pueden ser tan pequeños y discretos que no les prestemos la atención que merecen, convirtiéndose en dispositivos susceptibles de ser robados, manipulados, infectados por malware o incluso podemos llegar a extraviarlos. Por este motivo, será necesario para cualquier empresa contar con una normativa que regule el uso de este tipo de dispositivos. Un pequeño error, y nuestra información podría  perderse, caer en malas manos, manipularse con fines fraudulentos o provocar una infección en nuestra red corporativa.

Por este motivo, la empresa debe decidir si permite el uso de este tipo de dispositivos de almacenamiento, y en su caso, regular en qué situaciones se podrán utilizar o qué tipo de información se permitirá almacenar en ellos. Esto se denomina política de almacenamiento en dispositivos extraíbles

De esta forma, si tuviésemos que almacenar información sensible o confidencial en un dispositivo externo corporativo, habría que asegurarse que éste se encuentra debidamente protegido. Además, éstos se deberán almacenar en lugares seguros e informar debidamente a los responsables en caso de cualquier tipo de incidente: robo, pérdida, infección, etc.

Si se pretende que la información recogida en los dispositivos extraíbles esté segura, deberemos aplicar una serie de medidas de seguridad como el cifrado de datos, establecer permisos de acceso, política de contraseñas, etc.

Por último, también hay que tener en cuenta la eliminación de la información almacenada, ya que será de gran importancia asegurarse de que ésta no vuelva a ser accesible. Para ello, habrá que utilizar métodos de borrado seguro  como la destrucción física del dispositivo, desmagnetización o sobreescritura, según convenga en cada caso.

¿Qué tipo de controles serán necesarios?

En primer lugar, establecer una normativa que regule el almacenamiento de información en dispositivos extraíbles, que deberá contener aspectos tan esenciales como contar con un registro de dispositivos autorizados, definir en qué condiciones o casos se permitirá su uso, establecer si la información debe ir cifrada, configuraciones de seguridad, etc.

Otro aspecto muy importante es la concienciación de los empleados. Robos extravíos, manipulaciones, infecciones por virus, son las causas más frecuentes por las que se puede perder la información contenida en los dispositivos de almacenamiento externo. Por este motivo, es de gran importancia hacer partícipes a los empleados de la protección, vigilancia y buen uso de los mismos, concienciándoles de la trascendencia que tiene la protección de los datos en ellos contenidos. 

Además, es necesario disponer de alternativas a los medios de almacenamiento extraíbles, como, por ejemplo, contar con repositorios comunes para el intercambio de información o con accesos remotos para poder trabajar fuera de la oficina, disponer de servicios de cloud computing (almacenamiento en la nube), etc. 

También será necesario mantener un registro de dispositivos y usuarios para establecer un control de acceso a los mismos.

Otro aspecto importante será aplicar medidas técnicas que garanticen un almacenamiento seguro, tanto para los dispositivos extraíble, como para los dispositivos a los que éstos puedan conectarse. Éstas deberán incluir una programación de cambios periódicos de contraseña de los dispositivos, evitar que dispositivos no registrados  puedan conectarse a cualquier equipo de la organización, desactivar las opciones de autoarranque o los puertos USB, etc. 

Por último, será necesario cumplir con la normativa establecida, que deberá ser comunicada y conocida por todos los empleados. Además, éstos deberán comprometerse en su cumplimiento antes de hacer uso de este tipo de dispositivos. 

En definitiva, para poder proteger la información contenida en cualquier tipo de dispositivo de almacenamiento externo deberemos establecer unas normas de uso de los mismos que garanticen la seguridad, tanto de la información corporativa, como la de los equipos a los que éstos se conecten, unido a una labor de concienciación de nuestros empleados para que hagan un buen uso de los mismos y eviten que la información pueda caer en malas manos o provocar infecciones de la red corporativa. La prevención siempre será nuestra mejor aliada.