Son muchos los activos indispensables en las empresas sin los cuales nuestra actividad diaria no sería posible, como por ejemplo, los ordenadores, el mobiliario de oficina, dispositivos móviles, etc. Pero el activo más importante que no puede ser repuesto es la información.
De la información y los datos depende el correcto funcionamiento de la organización y los ciberdelincuentes, empleados descontentos o errores humanos sin mala intención pueden originar un fallo de seguridad que ponga en riesgo la información de la empresa. Por ello INCIBE aconseja una serie de pasos para proteger adecuadamente la información de tu empresa.
¿Qué le puede pasar a la información de mi empresa?
Diferentes servicios y tecnologías como, dispositivos de almacenamiento externo, servicios de almacenamiento en la nube o el correo electrónico pueden suponer un grave riesgo para la seguridad de la información por el alto riesgo de sufrir ataques basados en el robo de información.
Algunos de los errores más comunes que se efectúan a la hora de gestionar la información de manera inadecuada son:
Llevar a cabo una política inadecuada de copias de seguridad.
No cifrar la información de carácter confidencial.
Gestión inadecuada en el control de acceso.
No destruir o borrar la documentación utilizando técnicas seguras.
Uso de dispositivos de almacenamiento externo sin control por parte de la empresa.
¿Cuándo se considera segura la información?
Una información se considera segura cuando cumplen los siguientes principios:
Disponibilidad: La información debe estar accesible cuando sea necesario. Como ejemplo de falta de disponibilidad tendríamos el ataque con un ransomware cifrando la información de manera que deja de estar accesible.
Confidencialidad: La información debe de ser accesible únicamente por el personal autorizado. Un ejemplo de pérdida de confidencialidad sería cuando nos roban o perdemos una unidad de almacenamiento extraíble con datos privados en la que no hemos aplicado medidas de cifrado.
Integridad: La información debe ser correcta y estar libre de modificaciones y errores. Estos errores pueden ser provocados deliberadamente o a consecuencia de un error humano. Un ejemplo de falta de integridad sería que “alguien” nos cambiase los precios de nuestros artículos en nuestra tienda online.
Cómo proteger mi información
Antes de determinar qué controles debemos aplicar en ciberseguridad para que se cumplen los tres principios anteriores, debemos valorar los siguientes factores:
Identificar y clasificar todos los activos de información que gestiona la empresa. Se debe llevar a cabo con el máximo rigor posible ya que así podremos conocer dónde debemos poner mayor esfuerzo.
La naturaleza de los controles a aplicar es variada. No todas las medidas a aplicar son técnicas, como otorgar permisos de acceso o realizar periódicamente copias de seguridad. También debemos aplicar controles organizativos (quiénes son los responsables de cuidar los activos), controles de ámbito legal (cumplimiento de la LOPDGDD) y controles físicos (la ubicación de los equipos o la vigilancia).
El coste de las medidas a implementar. Tanto el coste económico como el humano deben valorarse. Las medidas a implementar elegidas deben tener un coste inferior al valor del activo.
Controles básicos a implantar
Independientemente de su tamaño o sector, las empresas deben tener en cuenta, cómo mínimo, las siguientes políticas de seguridad para implementar ciberseguridad:
Política de control de acceso a la información. Los empleados deben tener acceso únicamente a la información mínima con la que puedan desarrollar su actividad laboral, es el llamado principio de mínimo privilegio.
Política de copias de seguridad. Se debe establecer un procedimiento que realice copias de seguridad de los activos de la información de manera periódica, un método útil es la estrategia 3-2-1 de la que hablábamos en el post anterior.
Política de técnicas criptográficas. Consiste en utilizar técnicas de cifrado para que la información solamente sea accesible por sus legítimos propietarios. Estas técnicas deben aplicarse a la información que se encuentra en reposo, documentación sensible y la información en tránsito, como la facilitada por la web corporativa.
Política de borrado seguro. Tanto la información física como la digital debe ser destruida, una vez que haya terminado su ciclo de vida, para evitar que ninguna tercera persona pueda recuperarla.
Política de almacenamiento en la nube. Los servicios de almacenamiento en la nube pueden ser de gran ayuda, pero debe especificarse claramente aquellos que estén permitidos y bajo qué circunstancias.
Política de formación y concienciación. Lo más importante de la cadena de la seguridad son los miembros que componen la empresa.
Si aplicas estas políticas en tu negocio, tus activos de información estarán mejor protegidos y habrás dado un gran paso para estar preparado en caso de que surja algún incidente.