GESTIONA Y PROTEGE LA INFORMACIÓN

El principal activo de muchas empresas es la información

El acceso de un tercero no autorizado a información crítica puede suponer un grave perjuicio para nuestra PYME o negocio: desde la pérdida de información confidencial que puede acabar en manos de nuestra competencia, hasta las sanciones por incumplimiento de normativas de protección de datos por haber “perdido” una base de datos con información de nuestros clientes.

Por ello proteger la información y aprender a gestionarla es uno de los fundamentos críticos de todo plan de ciberseguridad.

Toda estrategia para la seguridad de la información se basa en la intersección de 3 principios:

CONFIDENCIALIDAD

Lograr que la información solo sea accesible por aquellas personas que verdaderamente están autorizadas para ello es posible si disponemos de listas de acceso validadas.

Estas listas se encargan de comprobar si la persona que está tratando de acceder a la información tiene permisos para ello. Para lograr estos grupos de información es muy importante crear repositorios de información con la información mínima para cada uno de los roles involucrados en la empresa. Por ejemplo: solamente el departamento de contabilidad tendrá acceso a las facturas, al igual que solamente los ingenieros tendrá acceso a los planos de diseño, etc.

De este modo se logra limitar los privilegios y evitar que toda la información sea accesible por todo el mundo, limitando el riesgo de contingencias involuntarias derivadas de la falta de conocimiento, o incluso el riesgo intencionado por los denominados usuarios maliciosos internos.

Dispositivos extraíbles: En muchas ocasiones es necesario sacar información de la compañía a elementos extraíbles, CDs o USB, que nos permitan llevar la información encima de manera sencilla. En estos casos, para evitar un posible extravío que pudiera propiciar una fuga de información es recomendable que los datos se encuentren cifrados.

INTEGRIDAD

Para lograr asegurar que la información accedida no ha sido manipulada y que se encuentra únicamente alterada por usuarios autorizados, se recomienda seguir las siguientes prácticas:

  • Guardar un log de actividad con todas las acciones llevadas a cabo por los usuarios. De este modo se verá exactamente quién, cuándo y qué ha sido modificado.

  •   Para aquellos documentos cuya integridad quiera ser garantizada incluso en los casos en los que la información sale de los sistemas de nuestra empresa. (por ejemplo, enviándola por correo electrónico), se podrá utilizar una firma digital que permita validar que el documento no ha sido modificado durante toda la comunicación.

DISPONIBILIDAD

Para evitar que la información pueda ser perdida o sea inaccesible por alguna catástrofe es necesario llevar a cabo una política de backup que permita recuperar y acceder a todos los datos de manera rápida y sencilla. Para poder diseñar la política de backup será importante definir dos parámetros que nos permitirán entender mejor las necesidades de nuestra PYME:

  1. RTO (Recovery Object Time). Define el tiempo estimado objetivo para la recuperación del servicio mínimo después de una pérdida de información.
  2. RPO (Recovery Point Objetive): Define el tiempo máximo tolerable para la pérdida de información. Por ejemplo: Si consideramos crítico perder información de las últimas 6 horas de nuestro trabajo, deberíamos definir este parámetro por debajo de 6 horas para garantizar la existencia de copias de seguridad que tuvieran la información necesaria para que el negocio no se viera afectado.

Con respecto a las recomendaciones del cómo llevar a cabo estos backup. Es importante entender que en función de la criticidad de la información y del plan de contingencia y ciberseguridad diseñado, tendremos que llevar a cabo una, varias o todas las medidas aquí sugeridas:

  • Es necesario priorizar y definir qué información deberá disponer de backup.
  • Deberán existir carpetas de red en los dispositivos de los trabajadores con la información declarada como crítica. Estas carpetas dispondrán de copias de seguridad que será realizada de manera planificada sobre un servidor central.
  • Deberán existir políticas de mantenimiento y rotado de las copias de seguridad almacenadas con el fin de evitar consumir los recursos de almacenamiento de los sistemas.
  • Deberán existir copias de seguridad en sistemas informáticos en infraestructuras de terceros que permitan la recuperación de los datos en el caso de una catástrofe sobre los sistemas de nuestra compañía. Un método habitual es el envío de copias de seguridad a la nube o a infraestructuras de terceros.

CREA TU MATRIZ DE RIESGO

GESTIONA Y PROTEGE LA INFORMACIÓN

PROTEGE TU ENDPOINT

CREA TU PLAN DE CONTINGENCIA

GESTIONA LAS CONTRASEÑAS

PROTEGE TU INFRAESTRUCTURA Y TU RED

CREA TU PLAN DE MOVILIDAD

APRENDE A PROTEGER TU WEB

NORMATIVA