Medidas para preservar la integridad de la información empresarial
- Endpoint
Aprovechando el Día Internacional de la Seguridad de la Información, INCIBE insiste en la importancia de proteger el principal activo que maneja cualquier organización. Para ello, tendremos que controlar quién accede a la información, cómo, cuándo y para qué.
También puedes leer... |
El 30 de noviembre se celebra el Día Internacional de la Seguridad de la Información, una iniciativa de la Association for Computing Machinery (ACM), cuyo objetivo es concienciar de la importancia de proteger la información. Y es que la información es el principal activo con el que cuenta cualquier organización, con independencia del sector en el que opere. Ya se trate de carteras de clientes, datos sensibles como por ejemplo los bancarios, datos confidenciales en el sector sanitario o en el ámbito de los menores, la información debe ser protegida y debemos tomar conciencia de ello.
Según INCIBE, controlar quién accede a la información de nuestra empresa será el primer paso para protegerla. Para ello, tendremos que determinar quién tendrá permisos para acceder a la información, cómo, cuándo y con qué finalidad. Una vez tenemos conciencia de quien maneja la información en mi organización, es necesario adoptar una serie de medidas de seguridad en los sistemas y entornos en los que se opera, que, según INCIBE, son las siguientes:
--Política de usuarios y grupos. Se trata de definir una serie de grupos que tendrán acceso a una determinada información, teniendo en cuenta el área o departamento al que pertenece el empleado, el tipo de información a la que tendrá acceso, y las operaciones que podrá realizar sobre la información que tenga acceso.
--Asignación de permisos. Es preciso establecer perfiles de usuario y a qué grupos pertenecerán, y concertar qué acciones podrán realizar sobre la información: creación, lectura, borrado, modificación, copia, etc. Como norma general, se otorgará el mínimo privilegio a la hora de establecer estos permisos, y se deberán realizar revisiones periódicas de los permisos concedidos a los usuarios.
--Creación, modificación y borrado de las cuentas de usuario. Deberá existir un procedimiento para realizar estas acciones con las cuentas de los usuarios. A la hora de crear una cuenta a un usuario, deberá detallarse qué acciones se le permiten, así como dotarle de unas credenciales de acceso que le serán entregadas de forma confidencial. Además, se le informará de la política de contraseñas de la organización.
--Cuentas de administración. Son las más delicadas ya que cuentan con los permisos necesarios para realizar cualquier acción sobre los sistemas que administran. Por lo tanto, únicamente habrá que utilizarlas cuando sean necesarias labores de administración. Además, hay que utilizar el doble factor de autenticación para acceder como administrador, registrar todas las acciones mediante un registro de logs, evitar que los permisos de administración sean heredados, utilizar contraseñas robustas y cambiadas cada cierto tiempo y someterlas a auditorías periódicas.
--Mecanismos de autenticación. Se deberá definir e implantar los mecanismos de autenticación más adecuados a la hora de permitir el acceso a la información de la empresa.
--Registro de eventos. Es necesario que todos los eventos relevantes en el manejo de la información queden registrados, reflejándose de manera inequívoca quién accede a la información, cuándo, cómo y con qué finalidad.
--Revocación de permisos y eliminación de cuentas. Si finaliza la relación contractual con un trabajador, será imperativo revocar sus permisos, eliminar sus cuentas de correo y sus accesos a repositorios, servicios y aplicaciones.