Análisis en profundidad

Seguridad informática, es decir, disponibilidad, integridad y confidencialidad de los datos

Protección de datos y seguridad informática de la empresa: tras una breve introducción sobre la situación de la seguridad informática en el mundo, he aquí las actividades clave que deben llevarse a cabo, así como las metodologías y técnicas a utilizar para que una empresa proteja sus activos de información

19 Nov 2021
información de seguridad

¿Qué es la seguridad informática? ¿Es posible? Hay que decir que la seguridad informática corporativa total, garantizada al 100%, es una utopía. Sin embargo, siempre es bueno recordar que no hay protección sin una «política de seguridad». Con ello nos referimos a un diseño estratégico que define, organiza la confidencialidad y la integridad de las TI y gestiona todos los aspectos relacionados, desde los técnicos hasta los de gestión y negocio, pasando por la confidencialidad y la disponibilidad de los datos. Esto significa que es impensable que una empresa que quiera proteger sus activos considere la seguridad informática como una actividad «puntual».

La definición de seguridad informática

Es necesario establecer un conjunto de actividades que tenga en cuenta, por ejemplo, acciones como la identificación de áreas críticas, el riesgo, la gestión de sistemas y redes, las vulnerabilidades e incidentes, el control de acceso, la gestión de la privacidad y el cumplimiento, la evaluación de daños, etc.

La definición de seguridad informática, ante todo, debe armonizar con la disponibilidad e integridad de los datos y la confidencialidad, así como el acceso a la información.

Estas son las tres características de la seguridad informática

Estas son las tres características de la seguridad informática. Estos son los aspectos en los que hay que centrarse para garantizar una gestión correcta y adecuada de la seguridad.

Disponibilidad de los datos, es decir, salvaguardar los activos de información garantizando el acceso, la usabilidad y la confidencialidad de los datos. Desde el punto de vista de la gestión de la seguridad, significa reducir los riesgos asociados al acceso a la información (intrusiones, robo de datos, etc.) a niveles aceptables.

Integridad de los datos, entendida como la garantía de que la información no será modificada o borrada como consecuencia de errores o acciones voluntarias, pero también como resultado de un mal funcionamiento o daño de los sistemas tecnológicos.

La confidencialidad informática, es decir, la gestión de la seguridad para mitigar los riesgos asociados al acceso o uso no autorizado de la información y, por supuesto, la privacidad de los datos.

Spyware Exodus: un caso europeo emblema

Exodus, desarrollado por la empresa de software italiano E-Surv, se originó como un software de escuchas legales utilizado por muchos fiscales de ese país durante algunas investigaciones judiciales. Tal y como descubrió la organización sin ánimo de lucro Seguridad Sin Fronteras a principios de 2019 en colaboración con Motherboard, el software espía acabó en Google Play e infectó a miles de usuarios de smartphones italianos. La consecuencia es que los atacantes pueden tomar el control de raíz, es decir, con privilegios de administrador, sobre los teléfonos infectados y, por lo tanto, una vez instalado es capaz de espiar todas las actividades de la víctima.

Al cabo de unos meses, se descubrió que circulaba una variante para dispositivos iOS que era capaz de instalarse en los smartphones de las víctimas aprovechando los certificados digitales que permiten a las organizaciones crear y distribuir apps corporativas para uso interno sin pasar por la App Store de Apple.

Las pequeñas empresas que utilizan centralitas digitales mal configuradas están sufriendo ahora robos de tráfico VOIP y ataques destinados a generar tráfico ilícito hacia números de tarifa especial.

El barómetro de la ciberseguridad

El Barómetro de Ciberseguridad 4.0, presentado por NetConsulting hace algún tiempo sobre un panel cualificado de 50 empresas de primera línea de los sectores de las telecomunicaciones, la energía/servicios públicos, la banca, la industria, los seguros, los servicios/transportes y el comercio minorista a gran escala, así como algunos organismos de la administración pública local, proporciona una idea de la madurez de las empresas italianas en materia de seguridad informática.

De este modo, fue posible esbozar el Modelo de Madurez de Ciberseguridad 4.0, es decir, un mapa de las posiciones actuales de las empresas encuestadas, tanto en términos de gobernanza como de tecnología (Figura 2). De ello se desprende que el 16% de las grandes empresas sigue estando en riesgo: no tienen ni una estructura organizativa ni un modelo de gobernanza adecuados para gestionar la seguridad digital tanto interna como externamente. Tampoco disponen del 100% de las tecnologías y herramientas que permiten un enfoque predictivo de las posibles amenazas y no sólo reactivo ante los ataques.

También hay un tercio de las empresas que se están equipando tecnológicamente, y con rapidez, pero que todavía necesitan progresar en términos de gobernanza: en general, por tanto, casi la mitad de la muestra se encuentra todavía en las dos áreas menos maduras de la matriz.

Seguridad de los datos informáticos, qué hacer para proteger sus activos de información

Los datos son uno de los activos más valiosos de cualquier empresa. Cuando se analizan y gestionan eficazmente, pueden tener un impacto positivo en muchos aspectos operativos, desde el marketing hasta las ventas. Por ello, la aplicación de estrategias oportunas de protección de datos y ciberseguridad -es decir, la adopción de políticas, metodologías y herramientas para asegurar la infraestructura corporativa- es fundamental para el éxito de cualquier organización.

Por lo tanto, apoyarse en los consejos de los expertos en seguridad informática puede ser útil para entender claramente por dónde empezar.

Pero entonces, ¿qué actividades son cruciales para la seguridad informática? He aquí los primeros seis pasos fundamentales que hay que dar, especialmente a la luz de las nuevas directivas.

Saber qué datos proteger (y dónde están)

Entienda qué datos tiene su organización, dónde están y quién es responsable de ellos. Esto es crucial para construir una buena estrategia de protección de datos.

Formación de los empleados

La privacidad y la seguridad de los datos son una parte fundamental del nuevo RGPD o Reglamento General de Protección de Datos. Por lo tanto, es imperativo que el personal sea plenamente consciente de la importancia de salvaguardar el proceso de datos personales. De hecho, estadísticamente, los expertos señalan que los problemas de seguridad informática más comunes y dañinos se deben a errores humanos. La pérdida de una memoria USB o de un ordenador portátil que contenga información sensible puede dañar la reputación de una organización o acarrear multas.

Crear una lista de empleados que tienen acceso a datos sensibles

Precisamente porque el error humano es un presagio de los problemas de seguridad de los datos, es importante mantener un control estricto sobre quién puede acceder a qué información. Los privilegios deben reducirse al mínimo y conceder acceso sólo a los datos que necesita cada recurso. Además, la marca de agua en los archivos puede ayudar a prevenir el robo de datos por parte del personal y a identificar la fuente en caso de infracción.

Esta práctica consiste en añadir registros de seguimiento únicos (semillas) a la base de datos, que proporcionan la capacidad de controlar cómo se utilizan los datos. También permiten trazar su trayectoria, incluso si se desplazan fuera del control directo de la organización.

Realización de un análisis de riesgos

Los expertos recomiendan realizar evaluaciones de riesgo periódicas para identificar cualquier amenaza potencial para los datos de la organización. Con esta práctica deben examinarse todos los tipos de amenazas identificables (tanto digitales como físicas): desde las violaciones de datos en línea hasta los cortes de energía. De este modo, se puede identificar cualquier punto débil en el sistema de seguridad de la empresa, priorizarlo y formular un plan de acción claro para evitar daños, reduciendo así el riesgo de tener que hacer frente a una brecha mucho más costosa más adelante.

Instale un software de protección fiable y realice análisis periódicos

Una de las medidas más importantes para la protección de datos y la seguridad informática es también una de las más sencillas. Con un buen sistema de prevención activa y escaneos regulares, se puede minimizar la amenaza de pérdida de datos. Invertir en un buen software antivirus y antimalware ayudará a evitar que la información sensible caiga en manos equivocadas.

Realice regularmente copias de seguridad de sus datos más importantes y sensibles

Hacer copias de seguridad periódicas es una práctica que a menudo se pasa por alto. Poder contar con la continuidad del acceso a la información es una dimensión fundamental de la seguridad informática. Si se tiene en cuenta el tiempo y el esfuerzo que se necesita para recuperar los datos, está claro que una estrategia de copia de seguridad es una jugada ganadora.

¿Qué tecnologías para la ciberseguridad y la protección de datos usar? Estos son los 20 identificados por Forrester

El enfoque de la seguridad informática debe centrarse ante todo en los datos. Todo ello sin perjuicio de la necesidad de proteger los activos dentro de las redes corporativas con dispositivos de defensa perimetral. En su informe TechRadar: Data Security and Privacy, Q4 2017, Forrester hace un balance de veinte tecnologías elegidas por la firma de análisis porque todas ellas pretenden proteger los datos, en algunos casos integrando la seguridad en los propios datos. Una ciberseguridad que los datos pueden llevar consigo incluso cuando «viajan» fuera de la empresa: en un correo electrónico, en la nube, etc.

1. Tecnologías en fase de creación

La primera de las fases en las que se encuentran las tecnologías analizadas en el informe es la Creación. Las soluciones de integridad de datos de Blockchain y las herramientas de gestión de secretos entran en esta categoría.

  • Las blockchain se configuran como contenedores en los que los datos se escriben una sola vez (append-only). No se repudian, se replican en diferentes almacenes distribuidos, pero sólo pueden acceder a ellos quienes tienen derecho a hacerlo. Entre los proveedores de soluciones de blockchain, Forrester incluye a Acronis, GuardTime, IBM, Thales e-Security y Tierion.
  • Las herramientas de gestión de secretos se utilizan para almacenar y proteger de forma centralizada la información confidencial de las aplicaciones. Algunos ejemplos son las API (interfaces de programación de aplicaciones), las claves criptográficas, las contraseñas, los certificados de capa de conexión segura (SSL) y las credenciales de usuario. Estas soluciones permiten definir, asignar, supervisar y revocar los derechos de acceso a la información secreta. Según Forrester, son muy útiles para que los desarrolladores aseguren la transmisión de estos datos secretos entre las aplicaciones, incluidos los contenedores, incluso cuando se mueven hacia y desde los entornos de la nube y durante los procesos de DevOps. Entre los proveedores de soluciones de gestión de secretos, la firma de análisis cita a Confidant, Conjur, Docker, Hashicorp, IBM, KeyWhiz, Knox y Thales e-Security.

2. Tecnologías en la fase de supervivencia

Las tecnologías en fase de supervivencia son herramientas innovadoras que acaban de salir de la fase anterior de creación y ya tienen cierta distribución e implantación comercial. Forrester incluye 4 tipos de soluciones en esta categoría: Gestión de derechos de consentimiento/de los sujetos de los datos, descubrimiento de datos y asignación de flujos, soluciones de gestión de la privacidad de los datos y comunicaciones seguras. Veámoslas muy brevemente.

  • Las soluciones de gestión de los derechos de los sujetos de los datos permiten a las empresas identificar, segmentar, enmascarar y eliminar grupos individuales de datos estructurados y no estructurados. Para llevar a cabo estas tareas, las empresas necesitan saber con quién comparten los datos y ser capaces de tomar medidas al respecto. Los proveedores señalados por Forrester son: BigID, ConsentCheq, Evidon, IBM, Kudos, OneTrust, Proteus-Cyber, TrustArc y trust-hub.
  • Las tecnologías de descubrimiento de datos y mapeo de flujos permiten examinar múltiples recursos y repositorios en busca de datos sensibles. Ejemplos de estos datos son los números de las tarjetas de crédito o, en el caso de Estados Unidos por ejemplo, los números de la seguridad social. Para Forrester, estas tecnologías tienen como productos «adyacentes» la optimización del almacenamiento y las soluciones de descubrimiento de datos. Entre los proveedores de tecnologías de descubrimiento de datos y mapeo de flujos se encuentran Active Navigation, ALEX Solutions, AvePoint, BigID, Covertix, Dataguise, Global IDs, Ground Labs, Heureka Software, IBM, Nuix, OneTrust, Spirion, TITUS, trust-hub y Varonis.
  • Las soluciones de gestión de la privacidad de los datos ayudan a gestionar, escalar, documentar y analizar (en el sentido de la auditoría) los procesos de protección de la privacidad. Forrester informa de los siguientes proveedores: Nymity, OneTrust, Proteus-Cyber y TrustArc.
  • Las soluciones de comunicaciones seguras proporcionan, de forma segura y estandarizada, las capacidades de comunicación que los usuarios encuentran hoy en día en servicios como Snapchat. Proveedores incluidos por Forrester: CellTrust, Confide, Dispel, KoolSpan, Signal, Silent Circle, Vaporstream y Wickr.

3. Tecnologías en fase de crecimiento

Hay 7 tecnologías de ciberseguridad que TechRadar: Data Security and Privacy, Q4 2017 incluye entre las que están en fase de crecimiento. Esta etapa se alcanza cuando la diversificación y la solidez de las soluciones son capaces de satisfacer las necesidades de un amplio mercado. En su mayor parte, se trata de tecnologías ya conocidas, con un gran número de proveedores, por lo que nos limitaremos a una discusión más sucinta.

  • Encriptación a nivel de aplicación. Su principal objetivo es hacer posible el cifrado de los datos en el lugar donde se generan y procesan en las aplicaciones.
  • La segunda tecnología en crecimiento es el cifrado de Big Data, la evolución de lo que la firma de análisis llamaba anteriormente cifrado y enmascaramiento de bases de datos.
  • Las tecnologías de protección de datos en la nube (CDP) también están creciendo, permitiendo la seguridad de los datos que residen en las nubes (también con fines de compliance).
  • Y el manejo de acceso a los datos, herramientas que ayudan a cerrar la brecha de visibilidad y control sobre las identidades. Uno de los objetivos es permitir a los responsables de la seguridad y la privacidad de las TI gestionar los privilegios ante el creciente volumen de datos.
  • Las tecnologías de clasificación de datos, que son fundamentales para el éxito de otras soluciones de seguridad de datos, entran en la fase de crecimiento. Entre ellas se encuentran, por ejemplo, la prevención de pérdida de datos (DLP), la gestión de derechos y el cifrado.
  • Aquí es donde entran en juego las tecnologías de gestión de claves empresariales (EKM), que permiten almacenar, distribuir, renovar y retirar claves criptográficas en grandes entornos.
  • La tokenización permite a los usuarios de aplicaciones críticas (como las de pago) iniciar la sesión al principio sólo con su identificación y contraseña. Posteriormente, se les pide que introduzcan un código que sólo es válido una vez recibido por mensaje de texto o generado por un dispositivo físico.

4. Tecnologías en fase de equilibrio

Aquí encontramos técnicas de seguridad informática que llevan décadas en uso y con grandes ecosistemas de proveedores e integradores:

  • Archivo (sistemas de almacenamiento, que proporcionan mayor seguridad que el almacenamiento de datos en lugares parcelados),
  • Prevención de la pérdida de datos (que consiste en una variedad de soluciones para evitar la fuga de datos de los servidores de correo electrónico, sitios web, ordenadores y dispositivos móviles),
  • Encriptación del correo electrónico, gestión de derechos de la empresa (ERM; soluciones que controlan el uso, la circulación y la compartimentación de los documentos producidos en una empresa),
  • Encriptación a nivel de archivo,
  • cifrado de disco completo
  • i Transferencia de archivos gestionada.

El papel de los sistemas de gestión de identidades y accesos para la protección

La protección de la información y la ciberseguridad de las aplicaciones corporativas en los dispositivos móviles sólo puede garantizarse mediante un sofisticado sistema de control de identidad. Esta es la opinión de los expertos de TechTarget, que se refieren en particular a los sistemas de gestión de identidades y accesos (IAM).

Los sistemas IAM siempre han tratado de responder a cuestiones fundamentales sobre la seguridad informática de las empresas. «¿Quién tiene acceso a qué y por qué?» «¿Cómo hacer cumplir las políticas de acceso?». Los expertos coinciden en que toda empresa debe ser capaz de responder a estas preguntas de forma rápida y correcta. Desgraciadamente, este no es todavía el caso en la realidad. La implantación de un sistema IAM maduro suele ser demasiado compleja y costosa. Por otro lado, es probable que los costos derivados de un ataque sean aún mayores. Los sistemas IAM impiden que los hackers accedan a los privilegios, las aplicaciones y los datos sensibles de los usuarios una vez que las credenciales han sido comprometidas.

Sistemas IAM y organización interna

La gestión de identidades y accesos también ayuda a cumplir los requisitos de separación de funciones. Para ello, aplica políticas de acceso a cuentas y datos sensibles, y se asegura de que los usuarios no tengan privilegios excesivos.

Según los expertos, los sistemas IAM pueden reducir los costes del servicio de asistencia (con el restablecimiento de contraseñas y la actualización de perfiles en régimen de autoservicio). Y mejoran la productividad de los empleados (al permitir un inicio de sesión rápido, por ejemplo, utilizando el inicio de sesión único).

El sistema de gestión de identidades y accesos proporciona información sobre el uso de las aplicaciones por parte de los usuarios (quién se ha conectado, cuándo, qué datos ha utilizado). Esto puede utilizarse no sólo por razones de seguridad informática, sino también para comprender los patrones típicos de interacción. Es posible analizar cómo trabajan los empleados y cómo se comportan los clientes con respecto a las compras. Y también en relación con la forma en que las personas interactúan con los sitios web o las aplicaciones. Conocer y comprender estos aspectos es la clave para simplificar, mejorar y optimizar las experiencias de los usuarios, tanto empleados como clientes.

Empleos en seguridad informática

Entre las competencias más demandadas en este momento están las que pertenecen al perfil de experto en seguridad informática. Los puestos de trabajo en el ámbito de la seguridad informática están en alza, pero ¿qué hay que saber para solicitar un puesto en este campo?

Las competencias de quienes trabajan en ciberseguridad deben garantizar que son capaces de calcular los riesgos de ataque, prevenir las amenazas y mitigar los riesgos. En general, se necesitan las competencias de ingeniero de seguridad, administrador de seguridad de datos y arquitecto de seguridad de redes.

CISO y DPO

Hay muchas figuras que trabajan en este campo, en particular el CISO, o Chief Information Security Officer, es responsable de la seguridad informática de una empresa. Las empresas pueden emplear a gestores de seguridad de las TIC que gestionen la política de seguridad, así como a hackers éticos (sombreros blancos frente a sombreros negros), es decir, aquellos que descubren fallos en los sistemas informáticos para contrarrestar a los delincuentes que se aprovechen de ellos.

Luego hay otra figura fundamental: el Delegado de Protección de Datos – DPO, obligatorio en las empresas para proteger los datos según el Reglamento Europeo de Protección de Datos – GDPR. He aquí lo extendido de algunas de estas habilidades.

Competencias: ¿quiénes son los profesionales que trabajan en la seguridad informática y qué alcance tienen?

Según las conclusiones del Observatorio de Seguridad y Privacidad de la Información sobre los roles más comunes relacionados con la seguridad en las organizaciones durante 2018, hubo un auge del responsable de protección de datos, o DPO.

En cambio, el Director de Seguridad de la Información (CISO), que ya estaba presente en el 47% de los casos, no se extendió tan rápidamente. Sigue estando ausente en el 37%, donde las cuestiones de seguridad se dejan en manos del Gerente de Sistemas de la figura que se encarga de la seguridad física y lógica.

@RESERVADOS TODOS LOS DERECHOS

Nota 1 de 5

This site is registered on wpml.org as a development site.