Protección de la Información y la Ciberseguridad

por | 16 Nov, 2022 | Consejos Ciberseguridad

La protección de la información es un reto cada vez más complejo debido, entre otros factores, a la conexión continua a redes públicas, como es internet, que quedan fuera del control de los responsables de ciberseguridad debido a:

  • A la movilidad requerida por el personal de la empresa
  • Al riesgo que un actor externo realice ataques remotos

La seguridad absoluta es una quimera, no existe, no es posible alcanzarla, debido a lo siguiente, el compromiso obligado entre:

  • El nivel de seguridad
  • Los recursos disponibles
  • Funcionalidad deseada

La seguridad también es proporcional al coste de las medidas adoptadas, y por este motivo, se opone a aquellos servicios abiertos que no disponen de ningún tipo de protección, todos aquellos servicios que pretenden brindar servicios gratuitos a todos los usuarios.

Para implementar debidamente medidas para salvaguardar la información, se deben de tener en cuenta los siguientes elementos esenciales:

  • Política de Seguridad
  • Análisis de Riesgos
  • Gestión de Riesgos
  • Mantenimiento
  • Planes de Contingencia

El uso de entornos cada vez más amplios y complejos, implica elevar el área de exposición y por consiguiente implica nuevos riesgos cibernéticos.

En términos generales, se puede definir una amenaza como la ocurrencia de uno o mas acontecimientos:

  • Naturales: Inundaciones, Accidentes o Incendios
  • Abusos Deliberados: Fraudes, Robos y Virus, que pueden ser tanto internos como externos a la organización.
Protección de la Información

El Factor Humano en la Protección de la Información

Las personas son el eslabón más débil de la cadena, voluntaria o involuntariamente se violan políticas de protección de la información:

  • Errores
  • Desconocimiento
  • Ataques intencionados

Es por ello, que las personas son en gran parte de los casos, los destinatarios de los ataques para acceder a la información.

En este aspecto tenemos los ataques de ingeniería social, que, mediante la manipulación del individuo, pretende conseguir información para poder llegar dicha información.

Diseñar una estrategia de ciberseguridad para una empresa depende del tipo de actividad que desarrolla, aun así, cualquier empresa, indiferentemente a su tamaño, debería de:

  1. Redactar, aprobar y publicar una Política de Ciberseguridad
  2. Realizar un Análisis de Riesgos
  3. Desarrollar la Gestión de Riesgos y dividirlos en:
    • Preventivas: Firewall, IDS/IPS, Antivirus, concienciación de Usuarios
    • De Detección: Sistemas de Monitorización, Análisis de Vulnerabilidades
    • De Respuesta: Backup OnLine

Los usuarios deben asumir su parte de responsabilidad en la protección cibernética de la empresa. Esta labor no es únicamente competencia de los especialistas en seguridad, ya que, si el usuario no pone de su parte por más medidas que se implanten, siempre habrá una brecha de seguridad.

Análisis y Gestión de Riesgos en la Protección de la Información

La gestión de los riesgos, nos permitirá el mantenimiento de todo el entorno controlado, minimizando los riesgos de ciberataques.

La reducción de estos niveles, se realiza mediante el despliegue de medidas de Ciberseguridad, descritas anteriormente.

¿Qué puedo hacer para Proteger la Información de mi Empresa?

Primeramente, deberás tener claro dónde está la información de la empresa, para así poder proteger dicha información, una vez se tenga esta tarea realizada, se deben de hacer las siguientes fases:

  1. Asignación de derechos de acceso a las carpetas, esto se puede hacer de dos formas:
    • Asignar permisos individualmente, lo que puede llegar a ser un trabajo con mucha dificultad de gestionar
    • Asignar a cada usuario un Grupo o Departamento, para luego establecer los permisos asignando ese grupo creado
  2. Tener una política de mínimos privilegios, es decir cada usuario, debe de acceder a aquello que sea estrictamente necesario para realizar su trabajo diario, tanto en forma como en tiempo.
  3. Tener políticas, para comprobar de vez en cuando esos permisos que, y revocar aquellos que ya no sean necesarios.
  4. Comprobar accesos a todos los servicios de la empresa, y quitar todos los permisos a quien ya no los necesite:
    • Servicios contratados externos
    • Servidores VPN
    • Servidores de correo
  5. Disponer de una política de Backup adecuada, y a poder ser disponer de dos localizaciones de Backup de las siguientes:
    • USB y Discos Duros portátiles
    • Discos duros de equipos específicos (NAS, Cabinas de Discos, Servidores de Backup)
    • Cintas de Copias
    • Soporte físico como CD/DVD
    • Backup Online
  6. Definir una buena política de Backup, y comprobar periódicamente que la información que grabamos, se puede recuperar, realizando tareas de restauración.
  7. Cifrado de discos o unidades completas, para impedir que la información, sin la clave de descifrado sea accesible, esto se puede hacer con los propios sistemas operativos:

Aspectos finales sobre la protección de la información

En definitiva, es de vital importancia la protección de la información de la empresa, para no incurrir incidentes de seguridad derivados de una posible Violación de Datos, y en caso de haber incurrido en una, esta debe de ser notificada a las autoridades competentes, si esta pone en riesgo los derechos y libertades de una persona.

Si estas interesado en implementar medidas, que, en la medida de lo posible, ayuden a prevenir violaciones de datos, no dudes en ponerte en contacto con nosotros aquí.