Instituto Nacional de ciberseguridad. Sección Incibe
Protege tu empresa. Sección empresas

¿Sabes qué es el Día Internacional de la Seguridad de la Información?

Fecha de publicación 28/11/2019
Autor
INCIBE (INCIBE)
¿Sabes qué es el Día Internacional de la Seguridad de la Información?

Antes de que comience el último mes del 2019, tenemos que hacer referencia al Día Internacional de la Seguridad de la Información que se celebra desde el año 1988, cada 30 de noviembre. Bajo el nombre de Computer Security Day, la prestigiosa Association for Computing Machinery (ACM), promovió esta iniciativa con el objetivo de concienciar sobre la importancia de la seguridad de la información y de la protección de los sistemas en los entornos donde operan tanto usuarios, como empresas.  

Carteras de clientes, listados de proveedores, tarifas, nóminas, planes de empresa, etc., forman parte de la información confidencial que cualquier empresa debe proteger mediante la puesta en marcha de todas las medidas o salvaguardas que consideremos necesarias, tanto preventivas, como reactivas. El objetivo es preservar los tres pilares fundamentales sobre los que se asienta la información: 

  • Disponibilidad: hace referencia a que la información esté accesible cuando se necesite. 
  • Integridad: se trata de un pilar que garantiza que la información sea correcta y libre de modificaciones y errores. 
  • Confidencialidad: implica que solo el personal autorizado pueda acceder a una información determinada, también conocido como need-to-know.

Imagen que muestra los tres pilares fundamentales sobre los que se asienta la información, disponibilidad, integridad y confidencialidad

¿Qué son las salvaguardas o medidas de seguridad?

Las salvaguardas son todas las medidas que se utilizan para la protección de la información de un negocio. 

Pero previamente a la selección de las mismas, será necesario tener en cuenta qué información tratamos desde nuestra empresa. El objetivo de esta revisión es identificar cuál es la más crítica. Para establecer esta medida, utilizaremos una serie de criterios, como pueden ser la legalidad que la protege, el nivel de criticidad de la continuidad del negocio en caso de pérdida, las penalizaciones que acarrearía, el daño hacia la imagen o reputación de la organización, etc. 

Por lo tanto, en función de la confidencialidad de nuestra información podremos clasificarla en:

  • Confidencial: información especialmente sensible para la organización.
  • Interna: información únicamente accesible para los empleados.
  • Pública: aquella que no cuenta con restricciones de acceso o difusión. 

Una vez establecidos los criterios de clasificación de la información pasaremos a poner nuestro foco de atención en la naturaleza de las medidas que tomaremos para su protección, que serán:

  • Técnicas: medidas de carácter tecnológico (antivirus, firewalls, sistemas de backup, etc.).
  • Organizativas: orientadas a las personas que forman parte de la empresa, poniendo el foco en su formación y la implantación de procedimientos, como por ejemplo, dar de alta o de baja a usuarios.
  • Físicas: que servirán para la protección física de la empresa, como por ejemplo pueden ser las cerraduras en despachos y armarios, los controles de acceso a salas, las medidas frente a inundaciones en salas de servidores, etc. 

Medidas básicas para la seguridad de la información

A la hora de definir las salvaguardas, tendremos en cuenta los sistemas que se van a proteger, así como la información que estos contendrán. Tampoco podemos dejar de lado las condiciones de los emplazamientos o las amenazas a las que puedan estar expuestos. Por este motivo, vamos de definir una serie de medidas aplicables a la gran mayoría de organizaciones y situaciones. 

Control de acceso a la información

Será de gran importancia a la hora de proteger los activos de una empresa, que se establezca y se siga el principio del mínimo privilegio:

Para poder aplicarlo, en primer lugar habrá que identificar qué tipo de información hay en tu empresa (contabilidad, facturación, clientes, pedidos, etc.), y así establecer quién podrá acceder a cada tipo, ya sea a nivel individual, por perfiles o grupos de usuarios. 

Posteriormente, deberás decidir quién y cómo los autorizará y no solo entender este control de accesos en cuanto a medidas lógicas, sino también valorar la necesidad de contar con controles físicos. 

Copias de seguridad

Se trata de la salvaguarda más básica a la hora de proteger la información de una empresa, ya que su propia existencia está directamente relacionada con la preservación de la información en caso de pérdida o robo. 

En función del tamaño de tu empresa y del volumen de datos a copiar, deberás definir cuáles serán los soportes más adecuados, frecuencia y procedimientos. Todo este tipo de decisiones, entre otras, conforman lo que se conoce como política de copias de seguridad.

Por último, no olvides realizar pruebas de restauración de manera periódica para evitar problemas en caso de tener que recuperar información.

Cifrado de la información

Esta medida consiste en buscar la información mediante técnicas criptográficas para evitar que los datos puedan ser legibles para aquellas personas que no conozcan las claves de descifrado. Este tipo de técnicas son de especial importancia en el almacenamiento y transmisión de datos, especialmente en soportes y dispositivos móviles  externos.

El principal inconveniente radica en la necesidad de utilizar claves robustas que dificulten los accesos no autorizados. Ten en cuenta, que una pérdida de estas claves, imposibilitaría el acceso a la información. 

Desechado o reutilización de soportes y equipos

Antes de eliminar, reutilizar, vender, regalar o prestar un soporte que haya almacenado información corporativa, se deberán aplicar mecanismos de borrado seguro que eviten la posibilidad de que esta información pueda ser recuperada. Estas medidas serán aplicables a discos, cintas de copias de seguridad, dispositivos extraíbles como CD, DVD o memorias USB, discos duros, etc. 

Esta medida no es solo aplicable al equipamiento tecnológico. Para el desecho de papel o de soportes poco robustos como el CD/DVD, se utilizará una destructora de papel o de soportes magnéticos. 

Por último, en caso de ser necesario, podrás optar por recurrir a empresas especializadas en la destrucción certificada de información. 

Almacenamiento en la nube

Es un tipo de almacenamiento ofrecido por proveedores de Internet cuyo funcionamiento es similar al de un disco duro remoto. Al tratarse de un servicio externo, deberás asegurarte de contar con las suficientes garantías en cuanto a la disponibilidad de la información alojada, teniendo claro en todo momento dónde acudir en caso de fallo del servicio. 

Por otro lado, deberás controlar el uso que el personal de tu empresa realice de este servicio, ya sea a través de medidas técnicas o mediante políticas de seguridad (control de acceso, claves robustas, etc.). 

Si vamos a tratar datos personales, el RGPD obliga a firmar con nuestro proveedor un contrato de tratamiento de datos. Deberás tener especial cuidado con los servicios que se contratan y dónde se alojarán los datos almacenados, ya que no todos los países cuentan con las suficientes garantías de seguridad o coberturas legales. No podemos olvidar que el propietario de los datos es el único responsable de su tratamiento, con independencia de quién los tenga almacenados. Por este motivo, a la hora de almacenar información sensible en cualquier servicio de la nube, cífrala antes de almacenarla.

La información es el principal activo con el que cuenta cualquier empresa y su protección debe convertirse en una prioridad. Establece todas las políticas de seguridad que consideres necesarias para garantizar los principios de confidencialidad, integridad y disponibilidad de la información. Haz que el Día Internacional de la Seguridad de la Información sirva para concienciar al personal de tu empresa de la importancia de proteger los datos con los que trabajan cada día.