Instituto Nacional de ciberseguridad. Sección Incibe
Protege tu empresa. Sección empresas

¿Sabes proteger la información de tu empresa?

Fecha de publicación 04/06/2020
Autor
INCIBE (INCIBE)
¿sabes proteger la información de tu empresa?

Ordenadores, mobiliario de oficina, dispositivos móviles, vehículos, etc. son algunos de los activos indispensables en la empresa y sin los cuales nuestra actividad diaria no sería posible. Si bien todos los activos indicados pueden ser repuestos ya que se tratan de bienes materiales, no pasa lo mismo con otro activo también muy importante, la información.

La información y los datos que se gestionan en la empresa son quizá su activo más preciado pues de ellos depende el correcto funcionamiento de la organización y además no pueden ser adquiridos en ningún mercado. Pensemos por ejemplo en carteras de clientes, portfolios de productos o servicios, patentes, contratos, planes de producción y documentos de gestión, hoy en día en su mayoría en formato digital. Por ello, los activos de información de la empresa deben ser protegidos adecuadamente.

¿Qué le puede pasar a la información de mi empresa?

Ciberdelincuentes, empleados descontentos (insiders) o errores humanos sin mala intención pueden ser el origen de un fallo de seguridad que ponga en riesgo la información de la empresa. A todo ello se une que diferentes servicios y tecnologías, como los dispositivos de almacenamiento externo, servicios de almacenamiento en la nube o incluso el correo electrónico pueden suponer un grave riesgo para la seguridad de la información por su potencialidad de “estar involucrados” en fugas de información.

Algunos de los errores más comunes que se comenten a la hora de gestionar la información de manera inadecuada son:

  • llevar a cabo una política inadecuada de copias de seguridad;
  • no cifrar la información de carácter confidencial;
  • no destruir o borrar la documentación utilizando técnicas seguras;
  • la gestión inadecuada en el control de acceso;
  • el uso de dispositivos de almacenamiento externo sin control por parte de la empresa.

Si quieres conocer cuál es tu nivel de riesgo, puedes utilizar nuestra herramienta de análisis de riesgos. En ella, mediante un sencillo cuestionario que no te llevará más de 5 minutos, obtendrás un buen punto de partida y algunas orientaciones.

¿Cuándo se considera segura la información?

La información se considera que es segura cuando, al menos, cumple estos 3 principios. Si uno de ellos falla, decimos que hay un fallo de seguridad. Estos 3 principios son:

  • Disponibilidad. Hace referencia a que la información esté accesible cuando sea necesario. Un ejemplo de falta de disponibilidad se da cuando un ciberdelincuente ataca los servidores o los equipos de la empresa con un ransomware. Este tipo de ataque cifra la información, de manera que no estará accesible. Otro ejemplo de falta de disponibilidad sucede cuando la página web o intranet corporativa se encuentran caídas.
  • Confidencialidad. Implica que la información sea accesible únicamente por el personal autorizado, lo que atañe tanto al personal de la empresa (autorizado) como a ciberdelincuentes (no autorizado). Un ejemplo de pérdida de confidencialidad sucede cuando nos roban o extraviamos una unidad de almacenamiento extraíble con datos internos o privados y en la que no hemos aplicado medidas de cifrado.
  • Integridad. Hace referencia a que la información sea correcta y esté libre de modificaciones y errores. Estos errores pueden ser provocados deliberadamente o a consecuencia de un error humano. Sucede una falta de integridad, cuando, por ejemplo, “alguien” cambia los precios de nuestros artículos en nuestra tienda online.

¿Cómo puedo protegerla?

Las salvaguardas o controles son las medidas que se aplicarán dentro de la organización para que se cumplan los tres principios anteriormente indicados en los que se basa la seguridad de la información. Estas pueden afectar a aspectos no solo técnicos dentro de tu empresa, es decir, no todo es tecnología, la formación y la organización también influyen en la ciberseguridad.

Factores previos a la elección de salvaguardas o controles

En ciberseguridad, como en otras cosas, tenemos que buscar el equilibrio coste-beneficio y considerar también otros aspectos como la usabilidad. Por ello, antes de determinar las salvaguardas necesarias, es necesario valorar los siguientes factores:

  • Identificar y clasificar todos los activos de información que gestiona la empresa. Este es un paso previo que debe llevarse a cabo con el máximo rigor posible. De esta forma conoceremos dónde poner nuestros mayores esfuerzos.
  • La naturaleza de los controles a aplicar es variada. Se debe tener en cuenta que no todas las medidas a aplicar son medidas técnicas, como otorgar permisos de acceso o realizar periódicamente copias de seguridad. También hay que aplicar controles organizativos, como determinar quiénes son los responsables de cuidar los activos. Otros controles tendrán un ámbito legal, como el cumplimento de la LOPDGDD y físico, como la ubicación de los equipos o la vigilancia.
  • El coste de las salvaguardas. Tanto el coste económico como el humano deben valorarse. Si es superior al impacto que tendría la materialización de la amenaza sobre el activo, se buscará una alternativa más económica. Las salvaguardas elegidas deben tener un coste inferior al valor del activo.

Salvaguardas o controles básicos a implantar

El número posible de salvaguardas o controles a aplicar en los diferentes activos de información es muy extenso. Distintas herramientas pueden servir de ayuda a este propósito, por ejemplo utilizar un estándar internacional como la ISO 27002.

Como fuente de referencia de controles básicos que cualquier empresa puede tener en cuenta para implementar ciberseguridad, independientemente de su tamaño o sector, recomendamos consultar las siguientes políticas de seguridad:

  • Política de control de acceso a la información. Los empleados de la empresa deben tener acceso únicamente a la información mínima con la que puedan desarrollar su actividad laboral, esto se conoce como el principio de mínimo privilegio.
  • Política de copias de seguridad. Se debe establecer un procedimiento que realice copias de seguridad de los activos de información de manera periódica, un método útil es la estrategia 3-2-1 descrita en la guía de Copias de seguridad.
  • Política de técnicas criptográficas. Utilizar técnicas de cifrado para que la información solamente sea accesible por sus legítimos propietarios. Estas técnicas deben aplicarse a la información que se encuentra en reposo, como documentación sensible, y la información en tránsito, como la facilitada por la web corporativa.
  • Política de borrado seguro. Tanto la información en formato físico como en digital, una vez que ha terminado su ciclo de vida, debe ser destruida evitando que ninguna tercera persona pueda recuperarla.
  • Política de almacenamiento en la nube. Los servicios de almacenamiento en la nube pueden ser de gran ayuda pero debe especificarse claramente aquellos que están permitidos y bajo qué circunstancias.
  • Política de formación y concienciación. Al final el eslabón más importante en la cadena de la seguridad son los miembros que componen la empresa.

Aplicando estas políticas, tus activos de información estarán mejor protegidos y además habrás dado un gran paso para estar preparado en caso de que surja algún incidente. ¡Protege tu empresa!

Si tienes dudas, llama al 017, la Linea de Ayuda en Ciberseguridad de INCIBE. Expertos en la materia resolverán cualquier conflicto online relacionado con el uso de la tecnología y los dispositivos conectados.

017 tu linea de ayuda en ciberesguridad