El martes 30 de noviembre de 2021 se celebra el ‘Día Internacional de Seguridad de la Información (DISI)’ con el objetivo de concienciar y recordar la importancia de la protección de la información.
Esta celebración surgió en 1988 como consecuencia del primer caso de ‘malware’, denominado como el ‘Gusano de Morris’, que afectó al 10% de los equipos conectados al predecesor de internet, la Arpanet, el 2 de noviembre de ese mismo año. Este incidente, sumado al creciente uso de las computadoras como herramientas de trabajo, tanto para las empresas como para los gobiernos, puso de manifiesto los riesgos a los que se exponía la información sensible.
Este día es conocido bajo el nombre Computer Security Day, y se trata de una iniciativa de la Association for Computing Machinery (ACM), cuyo objetivo es concienciar de la importancia de proteger la información a través de una serie de medidas de seguridad en los sistemas y entornos en los que se opera y adoptar buenas prácticas que favorezcan la protección de la información.
El empleado, primer eslabón de la cadena protectora
Con el paso del tiempo, el ‘DISI’ ha ido adquiriendo mayor importancia. Y es que a medida que evoluciona la tecnología y el manejo de la información por parte de las empresas, debe crecer también el nivel de concienciación en los empleados. En ellos reside la responsabilidad de ser el primer eslabón en la cadena de protección.
¿Quién maneja la información en mi organización?
Esta debería ser la primera pregunta que nos tendremos que hacer antes de poner en marcha las medidas orientadas a garantizar la seguridad de la información.
Para ello, tendremos que determinar quién tendrá permisos para acceder a la información, cómo, cuándo y con qué finalidad. Y para establecer este control de accesos habrá que tener en cuenta aspectos como la, cada vez mayor, descentralización de la información entre equipos, redes remotas o de terceros o el uso de dispositivos móviles en centros de trabajo que en ocasiones son de propiedad privada del empleado (BYOD).
Principales medidas
Política de usuarios y grupos. Se trata de definir una serie de grupos que tendrán acceso a una determinada información, teniendo en cuenta los siguientes aspectos:
-
-
-
- área o departamento al que pertenece el empleado;
- tipo de información a la que tendrá acceso;
- operaciones que podrá realizar sobre la información que tenga acceso.
-
-
Asignación de permisos. Establecer perfiles de usuario y a qué grupos pertenecerán. Además, habrá que concertar qué acciones podrán realizar sobre la información: creación, lectura, borrado, modificación, copia, etc. Como norma general, se otorgará el mínimo privilegio a la hora de establecer estos permisos.
Creación, modificación y borrado de las cuentas de usuario. Deberá existir un procedimiento para realizar estas acciones con las cuentas de los usuarios. A la hora de crear una cuenta a un usuario, deberá detallarse qué acciones se le permiten así como dotarle de unas credenciales de acceso que le serán entregadas de forma confidencial. Además, se le informará de la política de contraseñas de la organización, que deberán ser robustas y cambiadas cada cierto tiempo.
Cuentas de administración. Son las más delicadas ya que cuentan con los permisos necesarios para realizar cualquier acción sobre los sistemas que administran. Por lo tanto, habrá que tener en cuenta una serie de aspectos como los siguientes:
- únicamente utilizarlas cuando sean necesarias labores de administración;
- utilizar el doble factor de autenticación para acceder como administrador;
- registrar todas las acciones mediante un registro de logs;
- evitar que los permisos de administración sean heredados;
- utilizar contraseñas robustas y cambiadas cada cierto tiempo;
- someterlas a auditorias periódicas.
Mecanismos de autenticación. Se deberá definir e implantar los mecanismos de autenticación más adecuados a la hora de permitir el acceso a la información de nuestra empresa.
Registro de eventos. Es necesario que todos los eventos relevantes en el manejo de la información queden registrados convenientemente, reflejándose de manera inequívoca quién accede a la información, cuándo, cómo y con qué finalidad.
Revisión de permisos. Se deberán realizar revisiones periódicas de los permisos concedidos a los usuarios.
Revocación de permisos y eliminación de cuentas. Si finaliza la relación contractual con un trabajador, será imperativo revocar sus permisos, eliminar sus cuentas de correo y sus accesos a repositorios, servicios y aplicaciones.
El primer paso para preservar la integridad de la información será establecer una política de seguridad que gestione el control de los accesos a la misma. Aprovechando el Día Internacional de la Seguridad de la Información, queremos incidir en la importancia de proteger el principal activo que maneja cualquier organización. Para ello, tendremos que controlar quién accede a la información, cómo, cuándo y para qué.