Seguridad informática. 7 Medidas básicas para proteger la información.

ANCOS Gestión, asesoría, gestoria en Madrid, es consciente de la importancia que tiene la información para los autónomos y las empresas independientemente de su tamaño. La actividad diaria de los autónomos y de las empresas depende de la información que guardan en los equipos informáticos: ordenadores y dispositivos móviles. Todos consideramos inadmisible que personas ajenas a nuestro negocio accedan a la documentación en papel que guardamos en nuestras instalaciones, como son los datos de los clientes y de los proveedores, los costes de nuestros procesos, servicios y productos, los datos de los colaboradores, etc. Sin embargo, muchas veces no prestamos la misma atención a los datos que almacenamos en nuestros equipos informáticos. Actualmente, no son necesarios conocimientos informáticos para introducirse en los equipos de otras empresas o profesionales, por ejemplo, se pueden comprar programas que realizan este trabajo.

La información es un activo intangible que se debe proteger de forma adecuada. Es necesario proteger la información de la pérdida, accidental o provocada y de accesos no autorizados, tanto externos como internos, que también podrían modificar la información. Este proceso lo denominamos seguridad de la información.

Las medidas de seguridad de la información las debemos implementar sobre las tres dimensiones de la seguridad: Disponibilidad, Integridad y Confidencialidad.

Disponibilidad: la información tiene que estar disponible cuando se necesite.

Integridad: la información no sufre modificaciones no autorizadas.

Confidencialidad: la información sólo está disponible para las personas autorizadas.

Hay que implementar controles para garantizar la seguridad de la información con respecto a estas tres dimensiones.

Para implantar los controles es necesario tener en cuenta varios factores:

  • La seguridad total no existe. Es importante ser consciente que ningún sistema es seguro al 100%. Instalar un antivirus no es garantía de la ausencia de virus.
  • Los sistemas tienen que ser operativos. No podemos implantar medidas de seguridad que provoquen la inoperatividad de los equipos o que la dificulten en exceso.
  • Los controles deben ser eficaces y efectivos. Si un control no es adecuado para nuestro modelo de negocio se debe sustituir por otro que si lo sea. Si un control no es necesario no se debe implantar.
  • La implantación de un control para una dimensión puede afectar negativamente a otra dimensión. Al implantar los controles se debe evaluar su repercusión en las tres dimensiones -Confidencialidad, Integridad y Disponibilidad-

¿Qué tipo de controles se pueden implantar para garantizar la seguridad de los datos de nuestro negocio?

  • Físicos: cerraduras en las puertas y en los armarios, cámaras de seguridad, puertas de seguridad, huellas digitales, etc.
  • Técnicos: antivirus, cortafuegos, cifrado, copias de seguridad, etc.
  • Organizativos: implantación de procedimientos, formación de las personas en seguridad de la información, etc.

El tipo de medidas de seguridad necesarias no son las mismas para todas las empresas y profesionales. Depende del tipo de información a proteger, de los requisitos legales y normativos, de las características de los sistemas informáticos de cada organización, del emplazamiento en que se encuentran y, sobre todo, de las amenazas a las que está expuesta la información. Para la elección de controles es importante tener en cuenta los costes de implantación y su complejidad. No siempre los controles más sofisticados y caros son los más eficaces.

Las principales amenazas a las que nos enfrentamos las empresas y los profesionales son:

  • Usuarios: es la principal amenaza de un sistema informático.
  • Programas maliciosos. Malware: virus, spyware, etc.
  • Errores de programación, pueden ser utilizados por hackers.
  • Catástrofes naturales: incendios, inundaciones, etc.

Aunque cada organización debe elegir los controles adecuados según sus características particulares, existen unos controles mínimos que se deben implantar en cualquier negocio independientemente de su tamaño para hacer frente a estas amenazas:

  • Control de acceso a los equipos y a la información: sólo el personal autorizado puede tener acceso a la información. Se debe registrar el acceso a la información.
  • Copias de seguridad: se realizarán copias de seguridad que garanticen la recuperación de la información ante sucesos imprevistos. Se almacenarán de forma segura y se comprobará que es posible la restauración de la información que contienen.
  • Cifrado de la información: la información sensible debe guardarse cifrada, con claves de acceso seguras.
  • Equipos desechados: en los equipos desechados se debe realizar un borrado seguro de la información. El formateo del disco duro no elimina los datos.
  • Almacenamiento en servidores externos (almacenamiento en la nube): debemos asegurarnos donde están los servidores que almacenan los datos y las garantías que ofrece el proveedor. Si la empresa o el profesional trata datos especialmente protegidos como pueden ser los datos de salud, hay que tener en cuenta los requisitos que establece el RGPD.
  • Externalización de servicios: es importante conocer que los proveedores de servicios –asesorías, gestorías, servicios ajenos de Prevención de Riesgos Laborales, etc.- implementan las medidas necesarias para garantizar la seguridad de la información, ya que, en caso de que exista algún percance con la seguridad de los datos personales puede atribuirse la responsabilidad a la empresa o profesional que contrató estos servicios. La ley obliga a firmar contratos y/o cláusulas de confidencialidad y de cumplimento de los requisitos establecidos en el RGPD con los proveedores de estos servicios.

Por último, pero no menos importante, es la necesidad de mantener actualizados los sistemas operativos y las aplicaciones o programas informáticos instalados en los equipos: ordenadores, teléfonos móviles, impresoras, escáneres, etc. y protegerlos con la instalación de antivirus y cortafuegos.