06 Oct Seguridad de la información, medidas para salvaguardarla y causas de la perdida de información
La seguridad de la información es el conjunto de medidas preventivas y reactivas de las organizaciones y sistemas tecnológicos que permiten resguardar y proteger la información buscando mantener la confidencialidad, la disponibilidad e integridad de datos.
Seguridad de la información y sus dimensiones
Cuando hablamos de seguridad de la información lo hacemos desde la dimensión de la preservación de la confidencialidad, la integridad y la disponibilidad de los activos de información. y, por ello, a la hora de confirmar que el modo en que se trata la información es seguro, hay que considerar esas tres dimensiones:
Seguridad de la información: La confidencialidad
Propiedad de la información, por la que se garantiza que está accesible únicamente a personal autorizado a acceder a la misma.
¿Qué medidas debemos aplicar para conseguir esta confidencialidad? Entre otras…
- Firmar contratos en este sentido, con empleados, proveedores con acceso a datos, autónomos…
- Almacenar los documentos en papel y soportes electrónicos en lugar seguro.
- Desechar documentos o soportes electrónicos (cd, pen drives, discos duros, etc.) con datos personales garantizando su destrucción. Es recomendable contar con una destructora con unos requisitos mínimos.
- Se garantizará la existencia de contraseñas para el acceso a los datos personales almacenados en sistemas electrónicos. Se recomienda que la contraseña tenga al menos 8 caracteres, mezcla de números y letras.
- Hay que poner especial atención en el uso del correo electrónico: Las comunicaciones, tanto por correo electrónico como por otros medios como redes sociales, pueden ser el origen de la difusión indebida de información confidencial, incluidas contraseñas y credenciales de acceso por desconocimiento, error o con intención.
Para la gestión de las contraseñas puede consultar la guía de privacidad y seguridad en internet de la Agencia Española de Protección de Datos y el Instituto Nacional de Ciberseguridad
Seguridad de la información: La Integridad
Precisión, integralidad y fiabilidad de los datos a lo largo de su ciclo de vida.
¿Cómo protegemos la integridad? A modo enunciativo y no limitativo…
- La información almacenada en sistemas de almacenamiento compartido o en la nube puede ser manipulada, destruida o divulgada si no se toman las mismas medidas para garantizar su seguridad (control de acceso, cifrado…) que para el almacenamiento en local.
- El software que trata la información puede tener vulnerabilidades y, si no se actualiza con frecuencia, podría ser objeto de todo tipo de ataques, accesos no autorizados, infecciones con malware, etc.
- Los dispositivos personales, móviles y tabletas con sus apps, que se usan para acceder a recursos de la empresa, de no estar correctamente configurados, pueden dar lugar a fugas de información.
Seguridad de la información: La Disponibilidad
Asegura que los usuarios autorizados pueden acceder a la información cuando la necesitan.
¿Qué tenemos que tener en cuenta para que los datos puedan estar disponibles?
- Se debe disponer y seguir una correcta política de copias de seguridad: la frecuencia con la que se van a realizar los procesos de copia influye en la cantidad de información que se puede perder con respecto a la fuente original. Este parámetro es de suma importancia y requiere de un análisis exhaustivo.
- Buscar una probabilidad de error mínima, asegurándose de que los datos son copiados íntegramente del original y en unos soportes fiables y en buen estado. No se deben utilizar soportes que estén cerca de cumplir su vida útil para evitar que fallen cuando vaya a recuperarse la información que contienen.
- Controlar los soportes que contienen las copias, guardándolos en un lugar seguro y restringiendo su acceso sólo a las personas autorizadas.
- Proveer métodos de recuperación de la información y la actividad en caso de fallos técnicos, accidentes o desastres.
Medidas aplicadas para salvaguardar las tres dimensiones
Como se ha podido detectar, las medidas aplicadas para salvaguardar las tres dimensiones de la seguridad de la información están interrelacionadas entre sí.
Estas medidas, que se concretarán en distintas políticas y se dirigen a definir:
- Ubicaciones y dispositivos permitidos para el almacenamiento y uso de la información según su criticidad.
- Cifrado de información crítica en tránsito o en almacenamiento.
- Control de acceso a la información almacenada y a los servicios y programas para su tratamiento; permisos por roles, contraseñas robustas…
- Control de uso de dispositivos externos de almacenamiento y de móviles o tabletas.
- Control del uso de almacenamiento y servicios en la nube.
- Destrucción segura de la información una vez terminada su vida útil.
- Copias de seguridad y planes de recuperación.
- Según la actividad de la empresa, archivado seguro de la información que se deba conservar y de los registros de actividad como garantía del cumplimento legal o normativo que aplique.
Estas medidas, constituyen unos “mínimos”, ya que será cada empresa, en el estudio de su información la que decidirá qué medidas son las más acordes para mantener la seguridad de su información, pues todos estamos expuestos a incidentes de seguridad que pueden provocar perdidas de información.
Principales causas de las perdidas de información
Las causas por las cuales se producen las pérdidas de acceso a la información, afectando tanto a su integridad como a su disponibilidad, son múltiples y en muchos casos previsibles. Entre ellas destacan las siguientes:
- Fallos mecánicos en los dispositivos de almacenamiento: causados bien por motivos externos (como cortes de suministro eléctrico o picos de tensión en la red eléctrica), o internos de los propios dispositivos (por ejemplo, por degradación de las piezas mecánicas al final de la vida útil de los mismos).
- Errores humanos: por borrado o formateo de las unidades de almacenamiento o por manipulación indebida de los dispositivos. A veces la mala preparación del personal y la toma de decisiones erróneas a la hora de intentar recuperar la información tras un incidente son las causas de estos errores.
- Fallos en el software utilizado: fallos imprevistos en los sistemas operativos por reinicios inesperados o mal funcionamiento de las propias herramientas de diagnóstico.
- Virus o software malicioso: ya que en ocasiones los programas instalados en los ordenadores buscan causar un fallo en el sistema o bien el deterioro o el robo de información enviándola a un equipo remoto.
- Desastres naturales o estructurales: como incendios e inundaciones que causan la destrucción de las instalaciones donde se encuentran los equipos.
En definitiva, protección de datos no es solo el cumplimiento de las medidas organizativas e inclusión de textos legales, sino también, y con más importancia si cabe, medidas técnicas dirigidas a la seguridad de la información.
¿Qué medidas tenéis implementadas en vuestra organización? Si necesitas ayuda, ¡no dudes en contactar con nosotros!