GESTIONA Y PROTEGE LA INFORMACIÓN

El principal activo de muchas empresas es la información

El acceso de un tercero no autorizado a información crítica puede suponer un grave perjuicio para nuestra PYME o negocio: desde la pérdida de información confidencial que puede acabar en manos de nuestra competencia, hasta las sanciones por incumplimiento de normativas de protección de datos por haber “perdido” una base de datos con información de nuestros clientes.

Por ello proteger la información y aprender a gestionarla es uno de los fundamentos críticos de todo plan de ciberseguridad.

Toda estrategia para la seguridad de la información se basa en la intersección de 3 principios:

CONFIDENCIALIDAD

Lograr que la información solo sea accesible por aquellas personas que verdaderamente están autorizadas para ello es posible si disponemos de listas de acceso validadas.

INTEGRIDAD

Para lograr asegurar que la información accedida no ha sido manipulada y que se encuentra únicamente alterada por usuarios autorizados, se recomienda seguir las siguientes prácticas:

• Guardar un log de actividad con todas las acciones llevadas a cabo por los usuarios. De este modo se verá exactamente quién, cuándo y qué ha sido modificado.

•   Para aquellos documentos cuya integridad quiera ser garantizada incluso en los casos en los que la información sale de los sistemas de nuestra empresa. (por ejemplo, enviándola por correo electrónico), se podrá utilizar una firma digital que permita validar que el documento no ha sido modificado durante toda la comunicación.

DISPONIBILIDAD

Para evitar que la información pueda ser perdida o sea inaccesible por alguna catástrofe es necesario llevar a cabo una política de backup que permita recuperar y acceder a todos los datos de manera rápida y sencilla. Para poder diseñar la política de backup será importante definir dos parámetros que nos permitirán entender mejor las necesidades de nuestra PYME:

1. RTO (Recovery Object Time). Define el tiempo estimado objetivo para la recuperación del servicio mínimo después de una pérdida de información.
2. RPO (Recovery Point Objetive): Define el tiempo máximo tolerable para la pérdida de información. Por ejemplo: Si consideramos crítico perder información de las últimas 6 horas de nuestro trabajo, deberíamos definir este parámetro por debajo de 6 horas para garantizar la existencia de copias de seguridad que tuvieran la información necesaria para que el negocio no se viera afectado.

Con respecto a las recomendaciones del cómo llevar a cabo estos backup. Es importante entender que en función de la criticidad de la información y del plan de contingencia y ciberseguridad diseñado, tendremos que llevar a cabo una, varias o todas las medidas aquí sugeridas:

• Es necesario priorizar y definir qué información deberá disponer de backup.
• Deberán existir carpetas de red en los dispositivos de los trabajadores con la información declarada como crítica. Estas carpetas dispondrán de copias de seguridad que será realizada de manera planificada sobre un servidor central.
• Deberán existir políticas de mantenimiento y rotado de las copias de seguridad almacenadas con el fin de evitar consumir los recursos de almacenamiento de los sistemas.
• Deberán existir copias de seguridad en sistemas informáticos en infraestructuras de terceros que permitan la recuperación de los datos en el caso de una catástrofe sobre los sistemas de nuestra compañía. Un método habitual es el envío de copias de seguridad a la nube o a infraestructuras de terceros.