Entrada destacada

PRESENTACION

“Toda idea nueva pasa inevitablemente por tres fases: primero es ridícula, después es peligrosa, y finalmente… ¡todos lo sabían!.      ...

miércoles, 2 de mayo de 2018

El reto de la seguridad de la información

Sir Francis Bacon afirmó ya en el siglo XVI que “el conocimiento es poder”.

La seguridad de la información y de las comunicaciones tiene por finalidad poder garantizar la seguridad disponibilidad integridad y actualidad de la información que maneja la organización y sus integrantes.

En la sociedad postindustrial moderna, la información y el conocimiento es el verdadero motor que mueve el mundo. Su valor cada vez adquiere mayor relevancia y su gestión es fundamental para el desarrollo empresarial. En este contexto, hoy en día el robo, bloqueo, manipulación o eliminación de la información adquiere una importancia capital que supera con creces la del mero robo monetario. 

La gestión de la seguridad de la información tiene además otra vertiente cada vez más importante, la legal y las responsabilidades que enfrenta la empresa o institución pública o privada que no invierte el debido celo en su custodia, especialmente si está referida a datos personales.

Por último pero no menos importante está el daño a la cada vez mas importante imagen pública que puede suponer la interrupción de servicios informáticos a los clientes o el robo de su información privada.

Normalmente se pone mucho énfasis en la protección informática y sobre todo en lo referente al robo de datos a través de internet.  Así los cortafuegos, las copias de seguridad, el respaldo redundante de servidores, los antivirus y demás panoplia de medidas de protección en red son hoy en día la estrella de la seguridad de la información.

Es evidente que muchas empresas precisan de internet  para el desarrollo y gestión de sus operaciones. Las grandes empresas con múltiples centros de trabajo distribuidos geográficamente en el país o el mundo entero, las nuevas empresas fundadas en el negocio electrónico, y otros muchos modelos de negocio como hoteles, bancos, empresas de transporte… etc, son altamente vulnerables a los ataques o incidentes informáticos que afecten a su corriente continua de información, poniendo en riesgo su continuidad de negocio, que puede verse comprometida a veces incluso por meros minutos de caída de sus servidores informáticos. Conviene recordar por ejemplo el fallo global sufrido por British Airways hace unos meses por un mero error de un empleado que apago un servidor.

Sin embargo como este mismo ejemplo pone de relieve, muchas veces, por no decir las más de las veces, los riesgos de seguridad de la información no se deben tanto a amenazas externas como a las internas, sea por acción deliberada o accidental. Es por ello, que toda la seguridad informática que podamos pagar jamás garantizará la seguridad de la información y las comunicaciones, siendo imprescindible la adopción de medidas de gestión de la información que reduzcan o eliminen los riesgos intrínsecos del manejo de información por parte de los clientes internos y externos de las empresas.

Es evidente que las grandes empresas y organizaciones, así como aquellas que fundamentan su ventaja competitiva en las nuevas tecnologías, invierten ingentes cantidades de dinero para internar garantizar su seguridad. Sin embargo la mayoría de la empresas pequeñas y medianas ni tienen la capacidad ni sienten la amenaza, o más bien la asumen como una lotería que simplemente esperan no toque a su puerta.

Por otro lado, la vulnerabilidad se acrecienta con la popularización de nuevos dispositivos portátiles con conexión a internet, capaces  de almacenar y tratar información y recibir información. Tablet y smartphones y su uso discrecional, despreocupado y abusivo incrementan exponencialmente el riesgo de ataques a la seguridad de la información. Eso sin contar con la amenaza adicional de sus cámaras y dispositivos de grabación en manos desleales.

Los recientes ataques informáticos recibidos por muchas empresas, especialmente las pequeñas y  medianas, mucho más vulnerables, a las que se les llegaba a chantajear para recuperar su información o directamente veían borrados datos irremplazables pone de relieve la importancia de una adecuada política de protección de seguridad de la información y las comunicaciones en cualquier organización por pequeña o poco vulnerable que se sienta.

Existen una serie de sencillas medidas que pueden ser tomadas por cualquier empresa por pequeña que sea:

La primera es un análisis de los riesgos y su impacto para priorizar cuales son los más graves y así poder reducirlos o minimizarlos. En base a ello habrá que realizar el oportuno plan de seguridad de la información.

Es fundamental la formación y concienciación del personal para que puedan cumplir las normas que se establezcan.

Hay que establecer un sistema de clasificación de la información que determine su relevancia y criticidad en base a tres elementos:
  • Quienes deben conocerla. Normalmente la información más critica sólo debe ser conocida por un numero reducido de empleados.
  • El impacto económico de su perdida, filtración o modificación.
  • Las consecuencias legales de su perdida filtración o modificación..
En base a ello hay que ser muy cuidadoso a la hora de determinar que información y documentación va a estar disponible en servidores públicos o privados vía internet o intranet, y como va a estar disponible, para quien y en su caso, como se va a registrar el acceso a dicha información.

Hay que aislar la información sensible evitando usar para su visionado y tratamiento dispositivos vulnerables, básicamente aquellos con acceso a internet. La información sensible no debe estar contenida dentro de los propios dispositivos, a pesar de lo cómodo que resulte, sino en dispositivos de memoria externos, preferiblemente memorias solidas y a ser posible con algún mecanismo que limite su posible acceso no autorizado. Cuando se deba tratar esta información en dispositivos con acceso a internet este debe ser inhabilitado mientras se trabaja con dicha información. Además conviene tener duplicada esta información y por supuesto guardada a buen recaudo cuando no se esté usando. Y por supuesto jamás usar dispositivos de almacenamiento que nos hayan regalado o prestado, solo aquellos que provea la organización o comprados personalmente.

Debe establecerse una adecuada política de acceso de la información, solo aquella que se  necesita, pero toda aquella que sea necesaria. De esta forma se evita la saturación informativa, garantizando que todo el personal tiene la información precisa para realizar su trabajo con eficacia y eficiencia a la vez que se reduce el riesgo de filtraciones así como se facilita acotar la fuente de las mismas.

Es necesario llevar un registro de quienes acceden o se le facilita información relevante o legalmente protegida como es la de carácter personal.

Los equipos de tratamiento de información deben estar protegidos contra accesos no autorizados. Es deseable implementar sistemas de seguridad más avanzados que la mera contraseña, como puede ser sistemas de lector de tarjetas o de huellas dactilares. Además los equipos deben de bloquear la sesión automáticamente cuando estén inactivos.

Hay que mostrar la necearía disciplina en el uso del correo electrónico, sabiendo diferenciar claramente los usos personales y profesionales en cuentas separadas. Conviene copiar los correos que se desee guardar de forma rutinaria en memoria externa, borrar aquellos que dejan de tener valor y conservar en el buzón de correo solo los necesarios para el trabajo operativo o que se deban responder mientras sea estrictamente necesario. Por supuesto, el personal debe estar instruido sobre no abrir correo alguno de fuentes no conocidas o sospechosas.

Llegado el caso hay que valorar que información puede ser compartida a través de internet, y cual por su trascendencia puede ser conveniente enviar de forma excepcional mediante correo físico certificado,  para garantizar su integridad y privacidad.

Es muy conveniente llevar un buen registro de equipos informáticos profesionales, incluyendo tablets y smartphones. Lo deseable es facilitar a los usuarios de información los equipos precisos para su trabajo, sin privilegios de administración, y con las herramientas de software precisas para las tareas encomendadas. A partir de ahí se pueden adoptar múltiples medidas informáticas de control del uso de los dispositivos, según sean las necesidades.

Es deseable que no se maneje y trate o comunique información relevante desde dispositivos particulares. Cuando ello sea preciso, es necesario inhabilitar previamente el acceso a internet y el bluethood para garantizar la seguridad de la información y nunca dejarla en el propio equipo, sólo en una memoria externa con las debidas medidas de seguridad contra uso indebidos.

En función de la información manejada se debe valorar la posibilidad de impedir el acceso de dispositivos móviles o portátiles particulares a determinadas áreas. Incluso facilitar a determinado personal smartphones de empresa debidamente limitados en sus funciones de grabación y reproducción de imágenes, para su uso en estas áreas restringidas. Hoy en día cualquier reunión o llamada telefónica puede ser grabada con suma facilidad gracias a los dispositivos móviles.

Uno de los temas a los que generalmente menos importancia se dá, es al control de la actualización de la información. Normalmente la información y documentación rápidamente pierde valor  o debe ser actualizada. De no llevarse a cabo una efectiva política de actualización y distribución, registro y destrucción de información, siempre se corre el riesgo de que circule simultáneamente diversas versiones de un documento o se maneje información obsoleta creando malos entendidos, confusión e incluso toma de decisiones erróneas.

Por supuesto también hay que impedir la posibilidad de modificaciones no autorizadas de la información. La información solo debe poder ser revisada y alterada por quien esté debidamente autorizados. Se deben emplear para su distribución formatos que impidan su alteración.

Por último, se deben establecer mecanismos que permitan garantizar la autoría y responsabilidad de la creación o autorización de la  introducción de la información en los canales de la organización, sean mediante firma impresa, electrónica o cualquier otro método.

Por supuesto como todo programa de acción, debe ser evaluado, auditado y revisado para comprobar su eficacia y mantener su vigencia ante los cambios tecnológicos y de la organización.

A partir de ahí y en base al tamaño, importancia o necesidad del empleo de servicios on line para la gestión o el desarrollo de los negocios, existen muchas más medidas que evidentemente precisarán personal altamente cualificado para su planificación e implementación efectiva.

Como bien podrán ver, garantizar un mínimo de seguridad de la información, no solo es vital para la continuidad de negocio de cualquier organización por pequeña que sea y una obligación legal en muchos casos, sino que además es posible invirtiendo escasos recursos materiales, con un poco de organización junto a disciplina y buena fé por parte de los usuarios.

“El conocimiento es poder”, y como tal puede ser usado de muy diversas formas y para muy distintos fines. Proteger nuestro conocimiento, saber usarlo, e impedir que sea empleado en nuestra contra, es no solo necesario, sino imprescindible en la nueva sociedad del conocimiento y la información.

El conocimiento se adquiere leyendo la letra pequeña de un contrato, la experiencia; no leyéndola.


Jose Federico Villamil Calva
fedevillamil@fortiumsc.eu
Coordinador del blog
Coordinador de la División Fortium ITS

1 comentario: