“Si vis pacem, para bellum” es una máxima latina que significa «Si quieres la paz, prepara la guerra».
En términos de CiberSeguridad, “si quieres dormir tranquilo, protege tu información”. Cierto que es una traducción muy libre, pero en el siguiente post voy a tratar de contextualizar esta frase.
Proteger la información, algo fundamental
¿Por qué queremos proteger la información? Hoy en día, la información es considerada “el oro del siglo XXI”, es parte de los bienes intangibles de las empresas. Y son bienes porque la información de la que hablamos es la cartera de clientes, tarifas de precios, conocimiento comercial, propiedad intelectual, reputación… ¿no tiene todo esto el suficiente valor como para protegerlo? La información es uno de los activos más importantes de las empresas hoy en día, y no está lo suficientemente protegido. Esta información, cuando no obra en poder de quien debe se convierte en arma de desprestigio, herramienta de presión y elemento que se vende a escala global, convirtiendo la fuga de información en una amenaza real para las empresas de cualquier ámbito y o tamaño, pymes o grandes corporaciones.
En este sentido, la ciberseguridad es la única línea de defensa, pero debemos entender la ciberseguridad como el conjunto de medidas técnicas y organizativas que realmente protegen a las empresas, mas allá de los clichés a los que estamos acostumbrados a ver y oír. Hablamos de seguridad de la información y habitualmente confundimos este concepto con seguridad informática ya que esta última solo se encarga de la seguridad en el medio informático, pero la información puede encontrarse en diferentes medios o formas, y no solo en medios informáticos.
La seguridad informática es la disciplina que se ocupa de diseñar las normas, procedimientos, métodos y técnicas destinados a conseguir un sistema de información seguro y confiable. (Fuente: Wikipedia).
Este sistema de información seguro y confiable debe ser el objetivo a conseguir en cualquier empresa y en cambio es el más descuidado, y, por ende, el más amenazado por las fugas de información.
Fugas de información
Llamamos fuga de Información a la perdida de confidencialidad de dicha información, es decir, cuando es accedida por personal no autorizado. El impacto de dicha fuga puede traducirse en daños a la imagen de la empresa, negocio, etc. pero también consecuencias a terceros, los usuarios y organizaciones cuyos datos se han perdido o hecho públicos.
En este sentido, no solo debemos velar por la información desde el punto de vista interno de la empresa. Somos depositarios de datos en ocasiones muy sensibles de terceros que nos confían, por ejemplo, datos bancarios, de renta, comerciales, etc. etc. y debemos velar por dichos datos, ya que existe un conjunto de normativas y leyes para el uso y tratamiento de datos de carácter personal y es la Agencia Española de Protección de Datos (AEPD) la encargada de velar por su cumplimiento, entre otras cosas por detectar fugas de Información. Si una empresa oculta un incidente de este tipo y la agencia lo detecta, la sanción podría ser muy importante.
En la web de la agencia podemos encontrar una Guía de Seguridad de datos que incluye un cuadro resumen de medidas de seguridad, las comprobaciones para la realización de la auditoría de seguridad y un modelo de Documento de seguridad, que puede servir de guía en la aplicación de las previsiones del Reglamento. (Fuente: AGPD).
No todo va a ser negativo, en este sentido, tanto los errores como las fugas no autorizadas de información pueden impedirse y/o mitigarse en su mayoría, siempre y cuando pongamos en marcha una serie de buenas prácticas a nivel técnico y organizativo en nuestras empresas. Varios ejemplos de buenas prácticas organizativas serian:
- Clasificar la Información: Esto es obvio. No podemos limitar el acceso a la información si no tenemos claro que es confidencial y quien debe acceder a ella. Esta confidencialidad puede establecerse dependiendo del valor que tenga para la organización, el nivel de sensibilidad, si tiene datos de carácter personal, etc.
- Desarrollar políticas de acceso a la información: como hemos dicho, un usuario solo debe tener acceso a la información confidencial estrictamente necesaria para su trabajo diario y debe ser informado de los límites de su trabajo diario y los procedimientos para disminuir el riesgo en aquellas actividades que puedan implicar fugas de información. Es muy importante que en las organizaciones existan acuerdos de confidencialidad con los empleados. Dichos acuerdos, además de otras medidas, pueden servir como elementos disuasorios para evitar usos malintencionados de la información.
- La formación de los usuarios: En este punto hay que tener dos conceptos muy claros. La ciberseguridad total no existe y la información es manipulada por personas. Existe el factor humano y, por consiguiente, el error humano. “El usuario es el eslabón más importante de la cadena”. La fuga de información, voluntaria o no, tiene un componente humano, ya sea por motivaciones económicas, personales o el simple y el comentado error humano.
Por otra parte, a nivel técnico es donde encontramos el principal vector de amenazas, ya que es el factor más descuidado y el más vulnerable a los ciberataques, ya sean virus, malware, ramsonware, los conocidos Cryptolocker y similares que encriptan los ficheros y nos solicitan un rescate económico y por supuesto, los accesos no autorizados, hackeos y básicamente los robos (internos o externos) de información. ¿Cómo evitarlos?
Controles de acceso e identidad Usuarios y passwords robustas para acceder al sistema. A partir de ahí, podremos controlar a base de políticas quien accede a la información.
Soluciones anti-malware y anti-fraude, y obviamente, un buen antivirus actualizado.
Seguridad perimetral y control de las comunicaciones. Cuantas empresas tienen conectado los servidores al router wifi de su proveedor de telefonía… segmentación de la red, firewalls, uso de DMZ (zona desmilitarizada) para aplicaciones web que dificulten el acceso a servidores, base de datos desde Internet, etc. etc.
Control de contenido, control de tráfico y copias de seguridad
Actualizaciones de seguridad de sistemas operativos y software en general. Normalmente las vulnerabilidades en el software y sistemas operativos son detectadas y utilizadas para tomar el control sobre nuestras infraestructuras y acceder a los sistemas. Estar al día con las actualizaciones es esencial.
La implementación de productos o servicios destinados a la gestión del ciclo de vida de la información (ILM, del inglés Information Life-Cycle Management) o específicos para evitar la fuga de información (DLP, del inglés Data Loss Prevention).
El asesoramiento profesional, no solo durante la gestión de un incidente (¡normalmente nos acordamos de Santa Bárbara cuando truena…error!!) sino para el diseño y mantenimiento de las medidas de prevención.
Organismos oficiales de seguridad informática
Existen organismos oficiales encargados de asegurar servicios de prevención de riesgos y asistencia a los tratamientos de incidencias, entre ellos El Instituto Nacional de Ciberseguridad (INCIBE), un organismo dependiente de Red.es y del Ministerio de Energía, Turismo y Agenda Digital de España y cuyos textos y guías han servido de fuente para la elaboración de este post.