¿A quién va dirigido?
A todo tipo de organizaciones, públicas y privadas (grandes empresas o PYMES), que quieran estar preparadas para prevenir y protegerse de manera efectiva ante incidentes de seguridad que puedan afectar a la información e impactar en su actividad con el consiguiente perjuicio económico, reputacional o de otra índole.
¿Qué es?
La protección de la información en un concepto amplio en el que determinamos que ámbitos tenemos que cuidar para que la información esté segura.
La información de una empresa es uno de los elementos más importantes, ya que contiene datos necesarios relacionados con la gestión de la organización o directamente con el proceso productivo, por lo cual su protección debe de ser una de las prioridades principales de la empresa. La protección de la información aplica tanto a soportes físicos como documentos en papel, cartas, facturas… como toda la información almacenada en soportes digitales como servidores, unidades extraíbles, equipos o en la nube.
Ámbitos de la protección de la información
| Confidencialidad: | Consiste en que la información solo esté sólo disponible para las personas autorizadas a acceder a la misma. Una falta de confidencialidad, puede ser una exfiltración de documentación crítica a la competencia. |
|---|---|
| Integridad: | Determina si la información has sido alterada de forma no autorizada. Un ejemplo de ataque a la integridad puede ser el cifrado de archivos a causa de un Ransomware. |
| Disponibilidad: | Hace referencia a la capacidad de acceso a la información. Algún ejemplo de falta de disponibilidad pueden ser los ataques de denegación de servicio. En estos casos, lo que el atacante busca es saturar los recursos de forma que queden inaccesibles. |
| Autenticidad: | Asegura que una entidad es quien dice ser. Una falta de autenticidad, puede ser una suplantación de identidad, o un robo de credenciales. |
| Trazabilidad: | Registra las acciones que se realizan referentes a la información tratada. Una falta de trazabilidad es la carencia de registros de auditoría en los sistemas, perdiendo visibilidad de los accesos a la información. |
Protección de la información
Para proteger la información, primero hay que categorizarla, evaluar el riesgo asociado a cada tipo de dato y adecuarlo a cada tipo de negocio.
Por ejemplo, la información se protegerá de forma distinta si está compuesta de registros médicos en un hospital, si son las transacciones de las tarjetas de crédito de un banco, los planos de un oleoducto o las nóminas de una empresa.
Además de hacer un análisis evaluando los riesgos y la criticidad de la información a proteger, también hay que tener en cuenta la ley, ya que hay normativas como la RGPD que se tienen que cumplir.
Dentro de las categorizaciones, también habría que hacer distinciones respecto a la capacidad de difusión de dicha información identificando si ésta es pública, interna o confidencial.
Tras la categorización, cuando se vayan a definir las protecciones a implantar hay que evaluar el coste y el esfuerzo necesario para aplicarlas.
Para poder aplicar todo esto, tiene que existir una figura de responsabilidad que se encargue de centralizar, definir y aprobar las decisiones relacionadas con la seguridad de la información.
Tipos de protecciones básicas
Control de acceso
Una de las máximas en el control de accesos es el principio de mínimo privilegio. De tal forma, que solo debe tener acceso a una información el usuario concreto autorizado y solo a esa información y a ninguna más a la que no esté autorizado.
Como se ha comentado antes, habrá que clasificar la información y tras esta clasificación, hay que decidir qué usuarios o grupos de usuarios pueden acceder a ellos.
Para hacer esto, desde el punto de vista técnico se pueden aplicar controles en los sistemas que comparten información, configurándolos de forma que identifiquen al usuario y además sólo le permitan acceder a la información que tiene permitida. Por ejemplo, en carpetas compartidas, sólo se le permite al usuario o grupo de usuarios acceso a ciertas carpetas.
Otro control de acceso se puede hacer a nivel de red con un cortafuegos de última generación, para que el acceso entre redes o hacia internet pueda ser controlado y limitado, de tal forma que no se permita, por ejemplo, desde un equipo de producción acceder a la red de dirección, o que la navegación este controlada para evitar accesos a webs maliciosas. Un buen ejemplo de control de acceso se puede ver en los accesos remotos que se han popularizado a causa del creciente teletrabajo, para que el usuario acceda solo a los recursos necesarios desde su casa.
Todo esto con una colección de credenciales seguras con múltiples caracteres como mayúsculas, minúsculas, números y símbolos, además de que se renueven habitualmente
Copias de seguridad
Las copias de seguridad son una de las principales protecciones ante un ataque a la integridad. Respecto a las copias de seguridad hay que tener en cuenta varios factores. Como ya hemos comentado antes, después de categorizar la información y decidir de cual se va a hacer copia de seguridad, hay que evaluar cosas como puede ser el tipo de soporte donde se va a almacenar la información, con qué frecuencia se van a hacer las copias, cuanto tiempo se va a almacenar y donde van a estar las copias.
Un ejemplo puede ser la realización de copias de seguridad diarias que almacenen los últimos 30 días en unos discos en la empresa, una copia mensual en un soporte extraíble de los últimos 12 meses en una caja fuerte en la empresa y una copia anual en un soporte extraíble en casa del CEO.
Algo muy importante es hacer pruebas periódicas de restauración para comprobar que las copias de seguridad se están haciendo de forma correcta.
Cifrado de la información
El cifrado de la información implica que, mediante mecanismos criptográficos, una información legible quede oculta de tal forma que sólo quien tiene una llave, pueda descifrarla.
Este cifrado, no solo aplica a archivos, sino también a medios o canales de comunicación, como por ejemplo en las comunicaciones https o en los accesos remotos.
En los equipos portátiles o teléfono y tabletas que salen de la organización, se recomienda que los discos queden cifrados, para que, en caso de sustracción física o perdida, el acceso a dichos discos no sea posible.
Actualización de sistemas
Uno de los principales objetivos de los atacantes para acceder a la información de forma maliciosa son las vulnerabilidades existentes en sistemas y programas. Por ello es de vital importancia que tanto los sistemas operativos de ordenadores, portátiles, servidores y demás dispositivos estén actualizados a la última versión disponible.
También hay que vigilar que estos elementos dispongan de programas que estén dentro de su ciclo de vida útil y continúen recibiendo actualizaciones de seguridad.
Como se ha comentado, no solo hay que actualizar los sistemas operativos, sino también los programas que se instalan sobre estos sistemas operativos.
De esta forma al reducir las vulnerabilidades, se reduce la posibilidad de que un atacante encuentre una y la explote.
Sistemas antimalware
Los sistemas que detectan software malicioso en la actualidad son una necesidad básica en los sistemas digitales, ya que ante el creciente volumen de datos que se manejan y la exposición a redes inseguras, es posible que ciertos archivos maliciosos puedan acceder a los sistemas. Los sistemas antimalware tratan de prevenir esa infección.
Elementos de monitorización
Dentro de los elementos de control de la información está la parte de monitorización. La monitorización se utiliza para controlar lo que está sucediendo en los sistemas y redes de una organización y reducir los tiempos de respuesta ante incidentes.
Principalmente, se puede dividir la monitorización en dos tipos, monitorización de disponibilidad o monitorización de seguridad.
Dentro de la primera, se comprueba el estado de salud de los sistemas y si estan funcionando correctamente. En caso contrario, dispararan alarmas para que el departamento correspondiente pueda reaccionar y corregir dichos problemas. Por ejemplo, la caída de un Servidor, o la saturación de un enlace de red.
Dentro de la parte de monitorización de seguridad, se monitorizarán todos los dispositivos que alerten sobre amenazas, como los cortafuegos, pasarelas de correo seguro, antimalware, módulos avanzados de detección de amenazas, ERP y los eventos de ciertos servidores críticos, como equipos AAA (LDAPs, Directorios Activos, Radius) o servidores expuestos a internet. Esto permitirá tomar medidas para identificar de forma preventiva el ataque o en caso de incidente de seguridad tener trazabilidad para poder realizar un análisis forense.
Referencias
https://www.ccn-cert.cni.es/publico/ens/ens/index.html
https://www.incibe.es/protege-tu-empresa/que-te-interesa/proteccion-informacion
https://tienda.aenor.com/norma-une-en-iso-iec-27001-2017-n0058428
