Siguiendo y poniendo fin al tema entorno a la seguridad de la información en la empresa, en esta tercera entrega se tratará de:
- Recalcar los diversos tipos de información con los que trabajaría cualquier empresa.
- La atención a escoger y/o elegir los tipos de controles que ayuden a mejorar esa seguridad.
- Copias de seguridad.
- Cifrado de la información.
- Almacenamiento en la nube y confidencialidad en la contratación de los servicios.
1. TIPOS DE INFORMACIÓN CON LOS QUE TRABAJARÍA CUALQUIER EMPRESA.
Independientemente del sector empresarial, son estos los tipos a trabajar:
CRÍTICA
La información crítica es aquella que es indispensable para el correcto funcionamiento de la empresa y sus operaciones.
Conocer qué información y datos son críticos servirá para establecer los protocolos de seguridad necesarios para su protección.
VALIOSA
La información valiosa es aquella necesaria para que la empresa siga adelante. Tiene un alto componente subjetivo y lo que para una empresa es información valiosa, para otra puede no serlo, puesto que depende de la actividad y el sector.
Hay que tener en cuenta que no toda información y datos tienen el mismo valor y las empresas deben analizar cuáles son necesarios y cuáles no para el funcionamiento del negocio.
Conociendo cuál es la información valiosa para empresa, podemos establecer los servicios de seguridad informática necesarios para protegerla.
SENSIBLE
La información es sensible en el sentido de que es información privada de los clientes de la empresa y, por lo tanto, solo deben tener acceso a la misma personas autorizadas. Los sistemas de seguridad de la información deben garantizar la protección de datos de los clientes (usuarios).
2. ELECCIÓN DE LOS TIPOS DE CONTROLES QUE AYUDEN A MEJORAR ESA SEGURIDAD.
Las medidas de seguridad a aplicar estarán supeditadas al tipo de sistemas a proteger, de la información que contienen, de las condiciones de cada emplazamiento y de las amenazas expuestas.
A tener en cuenta:
El coste de la implantación de la medida de seguridad: coste económico, coste en tiempo y recursos humanos, coste de las pérdidas que supondría no tener implantada la medida adecuada.
La importancia de cada sistema de información en la organización: activos críticos e importantes a proteger. Cada sector empresarial (financiero, sanitario, industrial, hostelero ... ) tienen sus particularidades.
Las necesidades del sistema de información: determinar las dimensiones de confidencialidad, seguridad, integridad a proteger.
3. COPIAS DE SEGURIDAD
Copia de seguridad completa: cuando el software de copia de seguridad realiza una copia de seguridad completa, copia todo el conjunto de datos, independientemente de si se han realizado cambios en dichos datos. Por lo general, este tipo de copia de seguridad se realiza con menos frecuencia por motivos prácticos. Por ejemplo, puede llevar mucho tiempo y también ocupar una gran cantidad de espacio de almacenamiento. Las alternativas a las copias de seguridad completas de datos incluyen las copias de seguridad diferenciales o incrementales.
Copia de seguridad incremental: una copia de seguridad incremental sólo copia los datos modificados desde la última copia de seguridad. Por ejemplo, si realizó una copia de seguridad completa el domingo, la copia de seguridad incremental del lunes sólo copiará los cambios realizados desde la copia de seguridad del domingo. El martes, sólo copiará los cambios del archivo de imagen de copia de seguridad desde la copia de seguridad del lunes.
Respaldo diferencial: una estrategia de copia de seguridad diferencial copia solo los datos recién agregados y modificados desde la última copia de seguridad completa. Si la última copia de seguridad completa se realizó el domingo, una copia de seguridad del lunes copiará todos los cambios realizados desde el domingo. Si hubieras realizado otra copia de seguridad el martes, también copiaría todos los cambios realizados desde el domingo. El tamaño del archivo de copia de seguridad aumentaría progresivamente hasta la próxima copia de seguridad completa.
Factores decisivos para el uso de una copia de seguridad diferencial o incremental
A. Frecuencia de cambios de datos
Las copias de seguridad incrementales son más adecuadas si la empresa gestiona una cantidad importante de datos que soportan cambios con frecuencia. Puede ser un ahorro de tiempo y costos de copia de seguridad.
Por otro lado, si se elige copias de seguridad diferenciales, los costos podrían aumentar.
B. Requisitos empresariales
A la hora de decidir el mejor tipo de copia de seguridad que implementar en una empresa, tenemos que prestar atención a los recursos disponibles y la política de copia de seguridad y recuperación de datos de la empresa.
4. CIFRADO DE LA INFORMACIÓN.
El cifrado es un método de codificación de datos, de modo que nadie pueda leerlos, salvo las partes autorizadas. El proceso de cifrado, o encriptado, convierte los textos normales en codificados utilizando una clave criptográfica.
El descifrado, o traducción, de los datos encriptados podrá realizarlo todo quien esté en posesión de la clave adecuada. Ese es el motivo por el cual los especialistas en criptografía estén desarrollando continuamente claves más sofisticadas y complejas.
Aspectos a tener presente:
1. Los datos pueden cifrarse estando ‘en reposo’ (almacenados) o ‘en tránsito’ (mientras están siendo transmitidos).
2. El cifrado puede clasificarse en dos categorías principales: simétrico y asimétrico.
3. El cifrado simétrico tiene una sola clave, y todas las partes utilizan esa misma clave secreta.
4. El cifrado asimétrico lleva este nombre por disponer de múltiples claves: una para cifrado y otra para descifrado. La clave de cifrado es pública, la de descifrado es privada.
Es preciso prestar atención a lo siguiente:
La clave debe ser robusta para que dificulte el acceso no autorizado a la información.
La pérdida de la clave de acceso imposibilita el acceso a la información.
La elección de la herramienta de cifrado, dependerá de:
- si queremos una herramienta transparente al usuario o no
- si el descifrado debe realizarse en cualquier lugar.
- el perfil del usuario que va a usar la herramienta de cifrado.
 |
| Imagen tomada del website: https://www.susanagonzalez.es/cifrado-y-seguridad-en-el-entorno-empresarial/ |
5. ALMACENAMIENTO EN LA NUBE Y CONFIDENCIALIDAD EN LA CONTRATACIÓN DE LOS SERVICIOS.
Me gustaría remitiros a un post antiguo en el que trato sobre Cloud Computing, como introducción a este apartado: Claves de la transformación: Cloud Computing digital en la empresa
La seguridad en la nube es una de las disciplinas de las que se compone el ámbito de la ciberseguridad. Está formada por protocolos, tecnología y buenas prácticas que se centran en asegurar cualquier sistema informático on cloud.
Además, la seguridad en la nube implica la gestión de accesos e identidades, el establecimiento de políticas de prevención y detección de amenazas y el cumplimiento de las normas en materia de protección de datos personales.
Peligros y riesgos de utilizar los servicios en la nube
Así como existen numerosas ventajas ante el uso de este sistema de almacenamiento, también hay diferentes peligros y riesgos a los que se exponen sus clientes/usuarios que contratan un servicio basado en la nube.
Enumeremos las situaciones que nos podemos encontrar:
1. Cese repentino del servicio: la compañía que ofrece los servicios de alojamiento puede dejar de funcionar por numerosas causas, desde un problema informático hasta económico. En tal caso, la empresa se expone a perder la información sin opción a recuperarla, lo que supone un importante agravio a los intereses de sus usuarios.
2. Fallos: los errores, si bien no son recurrentes, pueden darse en ocasiones. Se trata de equivocaciones que ocurren en ambas partes: el servicio del proveedor puede experimentar un fallo o, por el contrario, el dispositivo del usuario puede perder la conectividad y, por tanto, el acceso a los datos.
3. Accesos desde móviles: dependiendo de la tecnología que disponen, pueden provocar un destacado consumo de datos si acceden a los servicios de almacenamiento en la nube de manera involuntaria. Además, hay que extremar las precauciones para que los datos de acceso no sean usurpados por personas ajenas a la organización.
4. Sincronización: el hecho de tener sincronizados diferentes dispositivos implica que se deben gestionar estos equipos con sumo cuidado. De hecho, es muy fácil que se llegue a borrar un archivo en uno de los dispositivos, con la consecuente desaparición también en la nube.
5. Ataques cibernéticos: puede suponer la eliminación de los datos almacenados en la nube o, lo que es peor, que queden a disposición de cualquier persona con malas intenciones.
6. Transparencia de los proveedores de servicios: indispensable es conocer cuáles son las condiciones de los distribuidores de servicios de almacenamiento en la nube, así como su ubicación física y su política de protección de datos. Esto supondrá una reducción de los problemas legales asociados. Además, implica la seguridad de que la empresa no va a usar los datos almacenados con ningún fin oculto.
En definitiva, la nube ofrece muchas ventajas, pero también riesgos. Resumiendo podemos preguntarnos ...
¿Qué riesgos existen en la nube?
Pérdida o fuga de datos: Si la información no está bien protegida, puede ser robada o eliminada accidentalmente.
Ataques cibernéticos: Los hackers pueden entrar en la nube para robar información o dañar tus sistemas.
Fallos del sistema: Los proveedores de servicios en la nube pueden tener problemas técnicos que afecten a tu negocio.
¿Cómo puedes proteger tu negocio en la nube?
Utilizar protocolos de seguridad: Implementar medidas como la autenticación de dos factores y el cifrado de datos.
Elegir un proveedor de confianza: Asegúrate de que el proveedor de servicios en la nube tenga un buen historial de seguridad.
Utilizar software de seguridad: Instalar software antivirus, antispyware y firewall en tus dispositivos.
¿Cuáles son las ventajas de la nube?
Reducción de costes: No necesitas comprar y mantener hardware y software.
Escalabilidad: Puedes aumentar o reducir tu capacidad de almacenamiento y procesamiento según tus necesidades.
Accesibilidad: Puedes acceder a tus datos desde cualquier lugar del mundo.
Colaboración: Puedes compartir datos y trabajar con otros de forma sencilla.
Posts anteriores para completar la lectura del tema.
Fuentes consultadas y utilizadas.
"Guía para el cifrado de la información". Universidad de Sevilla. https://osi.us.es/sites/osi/files/doc/seguridad/guias/guia_cifrado_informacion.pdf. Acceso 15 julio 2024.
Carballar, J.A. “Qué Es El Cifrado de Datos y Para Qué Sirve.” Carballar.Com,https://carballar.com/que-es-el-cifrado-de-datos-y-para-que-sirve. Acceso 16 julio 2024.
No hay comentarios:
Publicar un comentario