Las empresas dependen de la información para alcanzar los objetivos de su negocio y por ello, desde la Cátedra de CE Consulting Empresarial con la Universidad Politécnica de Madrid (UPM) hemos dedicado este tercer año a la Ciberseguridad. En una serie de artículos y vídeos iremos compartiendo con vosotros claves relacionadas con todos los elementos que determinan la seguridad informática de empresas y organizaciones.

Para inaugurar esta serie, Carolina Gallardo, Profesora Contratada Doctor de la UPM, nos habla de la seguridad de la información en las organizaciones, repasando las vulnerabilidades más frecuentes y comentando las novedades que a este respecto supondrá la entrada en vigor del Reglamento General de Protección de Datos.

Digitalización y seguridad de la información

Tanto la creciente digitalización de la información como la penetración de las Tecnologías de la Información y la Comunicación (TIC) han permitido que la información esté prácticamente disponible y accesible desde cualquier lugar y el cualquier momento, pero también han traído consigo vulnerabilidades.

Así, las dimensiones que garantizan la protección de la información – integridad, disponibilidad y confidencialidad – tienen riesgos asociados de los que hay que ser conscientes para prevenir, en la medida de lo posible, un incidente de seguridad.

Al ser la información es un activo altamente valioso para las empresas, un ataque de seguridad puede acarrear graves consecuencias. Desde daños de imagen y reputación a la ralentización o cese de la actividad – con sus perjuicios económicos – e, incluso, consecuencias legales.

Robos y fugas de información

Desde hace un tiempo conocemos con bastante frecuencia casos en los que corporaciones e instituciones han sufrido robos o fugas de información. En muchos casos, tendemos a pensar que estos han sido provocados por sofisticados ataques informáticos. Sin embargo, una de las principales amenazas a la confidencialidad de la información no es otra que el error humano.

Sobre esa premisa del error humano es en la que se fundamenta la ingeniería social, donde terceras personas se aprovechan de la curiosidad, desconocimiento o buena disposición de trabajadores y usuarios para robar información.

De hecho, es esta ingeniería social la que está detrás del phishing, una de las técnicas más comunes para el robo y que está basada en la suplantación de la identidad. Son esos correos electrónicos que simulan venir de una entidad legítima como un banco o una institución pública, en la que nos instan a introducir nuestros datos personales, usuarios, contraseñas, números de tarjetas de crédito… Datos que, en caso de rellenarse, pasan directamente a manos del atacante. Es más, el phishing se ha sofisticado y ahora los atacantes personalizan los correos con datos de la víctima – obtenidos en muchos casos a través de las redes sociales – provocando que el usuario baje la guardia.

Defensa

En estos casos, la mejor protección es la concienciación y formación del personal en materia de seguridad de la información. De hecho, este elemento humano puede pasar de ser el eslabón más débil de la cadena de seguridad a convertirse en la primera línea de defensa siempre que se hayan invertido recursos en su formación y se les flanquee de medidas tecnológicas ineludibles.

¿Y cuál es la medida tecnológica básica e ineludible? El mantener los sistemas y el software de protección, antivirus y cortafuegos, constantemente actualizado.

Protección de datos personales

Los datos personales son un activo crítico y muy sensible del que disponen todas las empresas. Su protección es imperativo legal y una actuación negligente puede conllevar importantes sanciones.

El próximo mes de mayo entrará en vigor el Reglamento General de Protección de Datos que modifica el carácter de la actual LOPD, centrando sus medidas en la prevención y anticipación por parte de las empresas, fundamentándose en lo que se conoce como responsabilidad activa.

Así, entre las medidas que deberán implementarse con el nuevo reglamento destacan el análisis de impacto que deben realizar las empresas – para determinar si el parámetro de riesgo que vendrá determinado por el tipo de datos, el número de personas con acceso o el volumen de datos -, la obligación de llevar un registro interno de las actividades realizadas por parte de la empresa, y el nombramiento de un delegado de protección de datos, quien se encargará de supervisar el comportamiento y notificar las violaciones de seguridad a la autoridad competente.

Más allá de la prevención

La implantación de medidas de protección es necesaria para la gestión efectiva de la seguridad pero no es suficiente. Se requiere, además, definir planes de contingencia que mitiguen el impacto provocado por un incidente de seguridad. En estos planes las herramientas de cifrado y las políticas de copias de seguridad nos ayudarán a garantizar la continuidad de los procesos de negocio ante dichos incidentes.

El cifrado de datos es la alteración de los mismos generalmente mediante el uso de una clave sin la cual no podrán ser leídos. El cifrado en sí mismo no previene ni reduce el riesgo de una fuga de datos pero sí permite proteger la información sensible puesto que la vuelve inservible al no poder ser leída.

Las copias de seguridad serán nuestras aliadas en caso de pérdida de información. Sin embargo, no sirve con realizarlas de vez en cuando. Es necesario establecer una política que defina aspectos como la selección de la información que se va a respaldad, la frecuencia de realización de las copias y el tiempo de conservación de las mismas. Además, debe decidirse si se almacenarán en un soporte físico o en la nube y realizar la comprobación de los planes de restauración de la información.

Seguridad de la información en la nube

Por último, nos gustaría concluir comentando que aunque los servicios en la nube suelen ser seguros no están exentos de riesgos. Así, cuando una empresa decide externalizar en la nube por ejemplo el almacenamiento o las copias de respaldo debe tener en cuenta que tendrá que gestionar no solamente la seguridad de su organización, sino también la del proveedor del servicio.

En estos casos, todas las empresas deberían considerar aspectos como:

  • El estado de seguridad general del proveedor, requiriéndole certificaciones e informes de cumplimiento de buenas prácticas.
  • Si cumple con el Reglamento General de Protección de Datos y la normativa vigente de seguridad.
  • Si se garantiza la integridad y recuperación de los datos en caso de incidente, así como el borrado de los mismos una vez finalizados los servicios contratados.
  • La delimitación de las tareas de seguridad del proveedor, como el parcheado o la actualización del software.

Suscríbete

Suscríbete ahora a nuestro blog

2 comentarios

  1. la seguridad en las medianas empresas mejora pero aun vemos problemas por falta de concienciacion, ademas que 100% no hay nada seguro ya que el seudocodigo matrix esta hecho por humanos y su entrelazado interno de codigo

    1. Gracias por comentar, Sergio.

      Es cierto que hay todavía mucho por hacer en materia de seguridad de la información en la pyme. Por eso consideramos que es muy importante que los asesores se formen en Ciberseguridad para poder dar apoyo a las empresas en la gestión de su información. De ahí que dedicásemos el tercer año de nuestra Cátedra CE con la UPM a esta materia, cada día más esencial.

      Un saludo

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*
*

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información. ACEPTAR

Aviso de cookies