¿Por qué los datos de las empresas son el activo más preciado y su protección debe evolucionar?
“Información es poder”, dice un sabio dicho popular. Y ese poder puede ser insuficiente o puede también ser un superpoder que ponga a las empresas en La Liga de los Líderes dentro de cada sector productivo. Por supuesto, para que la información sea un superpoder debe estar actualizada, ser confiable y, sobre todo, estar adecuadamente protegida.
La seguridad de los datos personales o corporativos dependen de un grupo de medidas de prevención y de reacción para proteger esa información. Para decirlo de otra manera, el entorno de la seguridad de la información son todas aquellas políticas relacionadas con el uso y las medidas involucradas en el tratamiento de los datos que se utilizan día a día en una empresa.
La seguridad de la información es clave en el desarrollo de las operaciones de una organización y que puedan desarrollarse con el mínimo posible de riesgos, preservando siempre la integridad y completitud de los datos que se manejan, pues son fundamentales en el desarrollo exitoso del negocio.
Por supuesto, la seguridad de los datos debe ser tal que pueda asumir y superar cualquier riesgo, mediante la capacidad que la empresa tenga para analizar esos riesgos, prevenirlos y, en el caso de que se presenten, encontrar la solución para eliminarlos rápidamente.
Este tema cobra cada vez más importancia en el mundo empresarial y, en el ámbito personal a raíz de los eventos sucedidos en 2020 y la creación de la “nueva normalidad”, ha cobrado una importancia sumamente relevante el hecho de mantener intacta nuestra privacidad, ahora que somos muchísimos millones más de usuarios de portales de pagos de servicios o de compras de productos on-line.
En la UE, el RGPD (Reglamento General de Protección de Datos) entró en vigor el 25 de mayo de 2016 y se aplicó hasta el 25 de mayo de 2018, dos años durante los cuales las empresas, las organizaciones, los organismos y las instituciones se fueron adaptando para su cumplimiento. Es una normativa a nivel de la Unión Europea, por lo que cualquier empresa de la unión, o aquellas empresas que tengan negocios en la Unión Europea, que manejen información personal de cualquier tipo, deberán acogerse a ella. Las multas por el no cumplimiento del RGPD podían alcanzar hasta los 20 millones de euros.
La sociedad en general se ha sensibilizado más con el tema de la seguridad (a las empresas las sensibilizó la posibilidad de recibir multas significativas, claro), pero ¿en qué se basan los mecanismos de seguridad de los datos y cuáles son sus principales cambios luego de la entrada en vigor del RGPD?
¿Cuál es la base la seguridad de los datos?
El concepto de seguridad de la información depende de cuatro características: la disponibilidad, la integridad, la confidencialidad y la autenticación.
Disponibilidad: Es la facilidad de tener acceso a la información cuando se necesita, sin violentar la privacidad. Evitar “caídas” del sistema que sean susceptibles de aceptar accesos ilegítimos o que impidan el acceso al correo…
Confidencialidad: Los datos deben ser accesibles únicamente para el personal autorizado. La información no debe llegar a personas o entidades que no estén autorizados.
Integridad: La información debe estar actualizada, ser correcta y no tener modificaciones no autorizadas ni errores. Debe protegerse de vulnerabilidades externas o posibles errores humanos.
Autenticación: Los datos deben proceder de un usuario que es quien dice ser. Se verifica y se debe garantizar que el origen de los datos es correcto.
El conocimiento y la aplicación de estas cuatro características de la seguridad de la información es la base para una actitud ciber-resiliente, pero ¿sabes en qué consiste la ciber-resiliencia?
La ciber-resiliencia es la capacidad de una organización de gestionar el riesgo existente y superarlo con un mínimo impacto para la organización. Por lo tanto, es importante disponer de soluciones tecnológicas que aseguren la protección, conocer en todo momento el estado de protección de nuestra infraestructura y contar con las herramientas adecuadas para una gestión eficiente que garantice la continuidad en caso de ciberataque.
¿Cómo y contra qué debe protegerse la información?
Un sistema informático puede ser protegido desde un punto de vista lógico (con el desarrollo de software) o físico (vinculado al mantenimiento eléctrico, por ejemplo). Por otra parte, las amenazas pueden proceder desde programas dañinos que se instalan en la computadora del usuario (como un virus o un malware) o llegar por vía remota (los delincuentes que se conectan a Internet e ingresan a distintos sistemas).
En el caso de los virus hay que subrayar que en la actualidad es amplísima la lista de ellos que existen y que pueden vulnerar de manera palpable cualquier equipo o sistema informático. Así, por ejemplo, nos encontramos con los llamados virus residentes que son aquellos que se caracterizan por el hecho de que se hallan ocultos en lo que es la memoria RAM y eso les da la oportunidad de interceptar y de controlar las distintas operaciones que se realizan en la computadora en cuestión llevando a cabo la infección de programas o carpetas que forman parte fundamental de aquellas.
De la misma forma también están los conocidos virus de acción directa que son aquellos que lo que hacen es ejecutarse rápidamente y extenderse por todo el equipo trayendo consigo el contagio de todo lo que encuentren a su paso.
Los virus cifrados, los de arranque, los del archivo o los sobreescritura son igualmente otros de los peligros contagiosos más importantes que pueden afectar a nuestro ordenador.
Entre las herramientas más usuales de la seguridad informática, se encuentran los programas antivirus, los cortafuegos o firewalls, la encriptación de la información y el uso de contraseñas (passwords). Estas herramientas son de gran utilidad, así como también los conocidos sistemas de detección de intrusos, también conocidos como anti-spyware. Se trata de programas o aplicaciones gracias a los cuales se puede detectar de manera inmediata lo que son esos programas espías que se encuentran en nuestro sistema informático y que lo que realizan es una recopilación de información del mismo para luego enviarla a un dispositivo externo sin contar con nuestra autorización en ningún momento. Entre este tipo de espías destaca, por ejemplo, Gator.
Un sistema seguro debe tener:
Íntegro: Con información modificable sólo por las personas autorizadas
Confidencial: Los datos tienen que ser legibles únicamente para los usuarios autorizados
Irrefutable: El usuario no debe poder negar las acciones que realizó
Estable: Completa disponibilidad para la tarea que realiza
Tipos de seguridad de datos: ¿cómo se definen?
Podríamos definir la seguridad informática como el conjunto de medidas encaminadas a proteger el hardware, software, información y personas.
Los controles que se implanten y su nivel de sofisticación generalmente dependen del nivel de riesgo que las entidades pueden encarar (mayor aversión al riesgo de pérdida implica mayores inversiones en controles), pero no tratemos de engañarnos: la seguridad absoluta en realidad no existe.
Los distintos tipos de seguridad informática tienen como objetivo asegurar la confidencialidad, integridad y disponibilidad de la información (CIA por sus siglas en inglés).
Los tipos de protección, dependiendo del momento en el tiempo en el que se produce el control, pueden clasificarse como preventivos/proactivos (p.e. encriptar la información, proxy, antivirus y firewall) o detectores/pasivos (p.e. copias de seguridad en caso de pérdida de datos, sistemas de alimentación ininterrumpida y sistemas de almacenamiento).
¿Qué tipos de seguridad informática existen?
Si nos enfocamos en los elementos objeto de protección, hablamos de los siguientes tipos de seguridad informática:
Seguridad de Hardware: hace referencia a la protección de elementos físicos, incluyendo sistemas de alimentación ininterrumpida (SAI), cortafuegos o firewall de hardware, y módulos de seguridad de hardware (HSM).
Seguridad de Software: este concepto se refiere a la protección del software contra ataques de hackers. Incluye casos de desbordamientos de buffer, defectos de diseño o implementación, entre otros.
Seguridad de red: es un subtipo de ciberseguridad principalmente relacionado con la protección de datos en red (evitar que la información sea modificada o robada).
Ejemplos de los riesgos que cubre la seguridad de red serían: hackers, virus, robo de identidad, ataques de hora cero, denegación de servicio, spyware o adware. El riesgo en estos casos es debido al tipo de complejidad (un elemento infectado y conectado en red hace que la propagación a otros equipos sea rápida y fácil).
La combinación de estos tipos de seguridad informática son distintas capas que permiten la mitigación de riesgos de ataques o pérdidas de información y han de verse en su conjunto, no como elementos separados. Además, estos elementos han de ir alineados con las estrategias y necesidades del negocio, y focalizados en reducir aquellas amenazas que estén fuera del apetito de riesgos de la organización.
Esta estructura de control puede parecer costosa, pero la realidad es que el riesgo de pérdida de la información puede llegar a serlo mucho más.
Ver con tus propios ojos una recuperación de servicio mundial en menos de 3 horas tras un desastre climático hace que sin lugar a dudas, te vuelvas un verdadero creyente en la necesidad de desarrollo de marcos de control de la seguridad de la información.
Transformemos el presente.
Estamos para ayudarte con la evaluación del proyecto de protección para tu activo más valioso y que mejor se adapte a tus necesidades y las de tu industria. Podemos tener una sesión en la que nos reunamos para que valoremos las soluciones que mayor valor aportan. Solo da clic aquí para que llevemos a cabo esta sesión entre el equipo de ACDitra y tus líderes, y acerques a tu empresa a la Transformación Digital.