.jpg)
La seguridad del dato, continuidad de negocio y la resiliencia, son aspectos fundamentales que deben de ser considerados transversales y ejes vertebrales de la estrategia de ciberseguridad corporativa de las empresas.
Garantizar la seguridad de la información en (y de) las empresas, es crítico. La cada vez más amplia cantidad de datos que se manejan y la dependencia sobre ellos de las tecnologías de la información, hacen que la protección de los datos deba ser prioritaria.
Para lograr una seguridad efectiva, es esencial comprender y aplicar los cinco pilares de la seguridad de la información:
- Confidencialidad.
- Integridad.
- Disponibilidad.
- Autenticidad.
- Legalidad.
Veamos en detalle cada uno de los pilares de la seguridad de la información.
La confidencialidad garantiza que los datos o información (de cualquier tipo, pero especialmente aquella que es sensible y privada) se mantengan protegidos y a salvo de quienes no deban tener acceso a ella.
Por otro lado, dicha información, además de no estar accesible a usuarios sin permisos, debe estar oculta para ellos, protegiendo así la confidencialidad, previniendo fugas de información y/o violaciones de privacidad.
Existen multitud de mecanismos para garantizar la confidencialidad de los datos y su protección, pero veamos alguno de ellos con el objetivo de poder tomar medidas al respecto:
- Establecimiento de controles de acceso en varias capas que, mediante un robusto sistema de autenticación de los usuarios y autorización segmentada a determinados niveles de información, permitan determinar y aplicar los permisos que tienen los usuarios autorizados sobre la información disponible y denegar al mismo tiempo el acceso a quienes no los deben de tener.
- Cifrando o encriptando la información, para que esta no sea legible o comprensible por quien no debe y pueda interceptarla en alguno de sus estadios (en reposo o en tránsito), garantizando así que, aunque un usuario pudiese “acceder” a ella, le sea imposible entenderla o descifrarla.
- Aplicando políticas de privacidad que todos los empleados de la empresa deben entender y aplicar de forma escrupulosa, garantizando así la confidencialidad de la información.
Esto, a su vez, redundará en una mejor imagen corporativa, reputación de la empresa, mejorando sus objetivos de negocio, favoreciendo el cumplimiento normativo, evitando sanciones e incrementando la confianza entre clientes, socios, colaboradores, partners, proveedores, etc.
La integridad de la información hace referencia a que los datos no han sido modificados ni alterados, de forma no autorizada (intencionada o no) por un usuario o sistema, garantizando de este modo que ésta sea precisa y fiable.
Entre muchos otros, algunas acciones o mecanismos para proteger la integridad de los datos, pueden ser los siguientes:
- Usando firmas digitales mediante las cuales se pueda corroborar que la información firmada es la original, no ha sido alterada y, por tanto, no tiene cambios ni cualquier tipo de modificación desde su creación y/o almacenamiento y firma.
- Estableciendo un sistema de control de versiones que permita hacer un férreo seguimiento de todos y cada uno de los cambios que sufre la información en su ciclo de vida, pudiendo analizar cada una de las versiones que han tenido lugar y los cambios asociados a cada una de ellas (realizados en ese momento), e incluso (como en el caso del software), poder volver a versiones anteriores de la información (estadios anteriores al actual) y sus correspondientes cambios.
- Realizando auditorías de datos para abalizar la información existente, detectar posibles cambios no autorizados en los datos y mantener un registro de las modificaciones realizadas.
Por otro lado, esto aportará un aceptable nivel de protección sobre la información, evitando ataques, o incluso evitando que los ataques fructíferos puedan aprovechar la información accedida o robada (modificándola o alterándola para lograr otros objetivos).
La disponibilidad consiste en garantizar que los datos estén siembre disponibles y accesibles, cuando sea necesario.
Existen muchos mecanismos para garantizar que la información esté disponible. Veamos alguno de ellos:
- Contando con backups o copias de seguridad que mantengan a buen recaudo la información, en copias seguras versionadas, con el objetivo de recuperarlos en ese estado cuando sea necesario (caída de sistemas, daño o corrupción de la información, modificaciones indebidas de la información, robo y borrado de datos, cifrado de la información por un ransomware, etc.).
- Manteniendo un modelo de redundancia de datos que permita tener la información duplicada en dos (o varios) repositorios a fin de evitar perderla y garantizar la continuidad de negocio en caso de interrupciones y/o fallos.
- Realizando una monitorización continua que chequee el estado de los datos, y alerte en caso de posibles problemas sobre ellos.
La autenticidad de la información nos garantiza que ésta proviene de una fuente confiable, de quien dicen ser o provenir y no han sido falsificada por el camino, evitando así la suplantación de identidad.
Veamos algunos de los posibles mecanismos para fortalecer la autenticidad de la información:
- Implantando y aplicando métodos robustos de autenticación que nos permitan identificar usuarios, así como sus privilegios, a través de contraseñas seguras, perfilado, configuraciones, roles, sistemas de autenticación de doble factor (2FA), sistemas de autenticación de múltiple factor (MFA), biometría, SMS, etc.
- Utilizando firmas electrónicas que corroboren la autenticidad de documentos, los datos e información que contienen, y de las transacciones realizadas con dicha información.
- Mantener un registro de eventos que almacene y contemple toda la actividad relacionada con todos y cada uno de los diferentes conjuntos de datos y sus “movimientos”, pudiendo conocer en todo momento quién ha accedido a ellos y qué cambios ha realizado.
La legalidad se refiere al cumplimiento de leyes, normativas y regulaciones existentes que apliquen a la gestión de datos y de todo su ciclo de vida. Estas, en la mayoría de los casos, son de obligado cumplimiento y conllevan sanciones legales y económicas en caso de incumplimiento.
Algunos posibles mecanismos de cumplimiento de la legalidad en materia de privacidad y protección de datos, podrían ser los siguientes:
- Preparación y certificación respecto al cumplimiento y sello de conformidad con leyes y normativas al respecto, como el GDPR / RGPD (Reglamento General de Protección de Datos), la LOPD (Ley Orgánica de Protección de Datos), la LOPDGDD (Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales), la HIPAA (Ley de Portabilidad y Responsabilidad de Seguro de Salud de Estados Unidos) etc., dependiendo de cual nos aplique de forma prioritaria.
- Realización de auditorías frecuentes, tanto internas como externas, que garanticen la conformidad y el cumplimiento con las leyes y regulaciones en materia de protección de datos y privacidad que nos apliquen.
- Gestión de documentación que demuestre el cumplimiento de leyes, normativas y regulaciones al respecto.
Como vemos, garantizar la seguridad de la información, de los datos, no es algo que sea especialmente trivial, sino que lleva su complejidad, máxime cuando va ligada al concepto de continuidad de negocio.
Ambos, son elementos estrechamente relacionadas y podríamos decir que hasta indivisibles. Una estrategia de ciberseguridad sólida debe incluir ambas piezas para garantizar que la empresa pueda resistir y recuperarse de ciberincidentes (lo que conocemos como resiliencia o ciberresiliencia).
Por esta razón, deben trabajar conjuntamente, buscando como tándem que son, las mismas capacidades, así como actividades para lograr objetivos finales comunes:
- La protección contra amenazas, evitando ciberincidentes y ciberataques que interrumpan las operaciones.
- El cumplimiento legal de las normativas y regulaciones requeridos a las empresas para la protección de datos y la aplicación de planes de continuidad de negocio.
- El mantenimiento de la operatividad que asegure que la empresa pueda continuar funcionando incluso después de un ciberincidente.
- La inmediata recuperación que reduzca al máximo el tiempo de inactividad y la pérdida de datos en caso de ciberincidente.
- La creación y aplicación de planes de continuidad de negocio que permitan a la empresa seguir funcionando en situaciones de crisis.
- La respuesta a incidentes / ciberincidentes que parta de una definición y establecimiento de procedimientos claros a aplicar en caso de ciberincidente con los que se pueda restaurar la integridad de los datos y minimizar el impacto operativo.
A este panorama y retos de protección de la información se enfrentan las empresas, todas las empresas, ya sean microempresas, pequeñas, medianas, grandes o enormes corporaciones, aunque a cada una les aplique de un modo diferente y las soluciones y regulaciones a aplicar, puedan variar entre ellas.
Las pequeñas empresas pueden optar por soluciones de seguridad más simples, tener aproximaciones quizá algo más laxas en algunos puntos respecto a las regulaciones en este ámbito y externalizar ciertas funciones para las que no tienen capacidad ni recursos.
Las grandes empresas requerirán de infraestructuras y soluciones más complejas, un cumplimiento normativo más férreo y equipos cualificados, especializados y profesionales, tanto internos como externos.
¿Necesita tu empresa ayuda con servicios de protección de la información y cumplimiento normativo, como los que ofrecemos en Zerolynx: Servicios de Ciberseguridad.
Si lo prefieres, contáctanos y hablamos.
