Bases de datos, hojas de cálculo, facturas, datos personales de clientes, etc., son muchos los datos que gestiona una empresa y no todos tienen la misma criticidad. Una de las partes más importantes a la hora de proteger la información [Ref. – 1]de una empresa es clasificarla correctamente antes de tomar ninguna acción. El proceso de clasificación [Ref. – 2] se puede dividir en 4 pasos.
► PASO 1 – INVENTARIADO DE LOS ACTIVOS
Etapa fundamental en la que se deben tener en cuenta todos los recursos con los que cuenta la organización, tanto en formato físico, como en formato digital. Además, es conveniente catalogar otras
características de los activos como su tamaño, ubicación o departamentos que intervienen en su gestión.
► PASO 2 – CRITERIOS DE CLASIFICACIÓN
Cada empresa es un mundo y cada una debe escoger los criterios que mejor se adapten a sus circunstancias. Estos pueden ser las necesidades o requisitos de confidencialidad, integridad y disponibilidad de cada activo
para las actividades principales de la empresa. Un ejemplo orientativo sobre cómo clasificarla en base a la confidencialidad de la misma sería:
► PASO 3 – CLASIFICAR CADA ARCHIVO
El siguiente paso consiste en etiquetar cada activo de forma adecuada, un ejemplo sería añadiendo etiquetas al comienzo del nombre del archivo.
También podrían utilizarse marcas de agua o códigos de color.
► PASO 4 – TRATAMIENTO DE LA INFORMACIÓN
El siguiente paso consiste en elaborar un listado con los controles de seguridad que se llevarán cabo para proteger cada activo. Un ejemplo del tratamiento que recibirá cada tipo de información, en función de su confidencialidad, será:
► Limitar el acceso de personas o grupos. Se deberá llevar un control de accesos para que la información sea
accesible, únicamente, por el personal que la necesite para su trabajo, según los roles o perfiles. Por ejemplo,
los datos de clientes no son necesarios para el personal de RRHH, ni los cv de candidatos a un puesto deben
ser accesibles para los comerciales. No todos los empleados deben tener acceso a todos los recursos. ► Cifrado. ► Copias de seguridad. ► Medidas específicas como las indicadas en el recurso formativo anterior relativas al cumplimiento de la
LOPDGDD u otra normativa que aplique a empresas del sector. ► Medidas específicas para la información sujeta a acuerdos de confidencialidad.
2. Cifrado de la información
A la hora de proteger la información en formato electrónico, una de las medidas más eficaces es el cifrado de la información [Ref. – 3]. Mediante esta técnica podemos ofuscar cualquier fichero y hacerlo inaccesible a otras personas que no sepan la clave de descifrado.
El cifrado es una de las mejores medidas de seguridad para el almacenamiento y transmisión de información sensible, especialmente a través de soportes y dispositivos móviles o servicios de almacenamiento en la nube.
Para que la información cifrada sea lo más confidencial posible se han de seguir una serie de recomendaciones:
► la clave elegida para el cifrado debe ser lo más robusta posible; ► se ha de escoger un algoritmo criptográfico fuerte, preferiblemente de dominio público, como AES-256, evitando el uso de aquellos que ya ha sido comprometida su robustez; ► cada cierto tiempo se debe comprobar que el método criptográfico elegido no es vulnerable;
► la perdida de la clave de descifrado imposibilitará el acceso a la información. Se debe almacenar en un lugar seguro y del que se pueda recuperar; ► la herramienta de cifrado, como sucede con todo el software, debe estar actualizada a la última versión.
Aunque existen múltiples herramientas para el cifrado de información, muchas aplicaciones de compresión de ficheros y ofimática disponen de la posibilidad de comprimir con contraseña, lo que puede ser suficiente, en la mayoría de los casos, si la contraseña utilizada es lo más robusta posible.
3. Metadatos, riesgos y cómo eliminarlos
Un «metadato» es aquella información que incluye ficheros digitales pero que no forma parte del contenido. Algunos ejemplos de metadatos son la fecha de creación, la fecha de modificación o el autor del fichero.
Tenemos que tener en cuenta que cada tipo de fichero tiene sus propios metadatos. Por ejemplo, mientras que un fichero ofimático como un Word puede contener el autor del documento, una imagen puede incluir además sus dimensiones, información de dónde se tomó la foto o incluso el modelo de cámara utilizado.
Aunque pueden ser muy útiles, en algunos casos pueden proporcionar información valiosa sobre nosotros a los ciberdelincuentes como nombres de usuario, fechas de creación o modificación de los documentos, ubicación de las fotografías, aplicación utilizada, etc.
Por ello, debemos eliminar los metadatos antes de enviar el fichero a otra persona o empresa, subirlos a la página web de la empresa o a un servicio de almacenamiento en la nube.
Ilustración 1. Los tres pilares de la seguridad de la información
Ilustración 2. Pasos para borrar los metadatos mediante Windows 2
La mayoría de programas de ofimática más utilizados incorporan funcionalidades para eliminar esta información.
También se puede hacer desde el propio sistema operativo como es el caso de Windows mediante la opción de botón derecho -> Propiedades -> Detalles. A continuación, se selecciona «Quitar propiedades e información personal» y se abrirá una nueva ventana. Se selecciona la opción «Quitar las siguientes propiedades de este archivo» y posteriormente «Seleccionar todo». Por último, clic en «Aceptar» y el proceso de borrado de metadatos ha terminado.
4. Referencias
► Agencia Española de Protección de Datos – https://www.aepd.es/es
Índice
1. Clasificación de la información
Paso 1 – Inventariado de los activos
Paso 2 – Criterios de clasificación
Paso 3 – Clasificar activo
Paso 4 – Tratamiento de la información
2. Cifrado de la información
3. Metadatos, riesgos y cómo eliminarlos
4. Referencias
1. Clasificación de la información
Bases de datos, hojas de cálculo, facturas, datos personales de clientes, etc., son muchos los datos que gestiona una empresa y no todos tienen la misma criticidad. Una de las partes más importantes a la hora de proteger la información [Ref. – 1]de una empresa es clasificarla correctamente antes de tomar ninguna acción. El proceso de clasificación [Ref. – 2] se puede dividir en 4 pasos.
► PASO 1 – INVENTARIADO DE LOS ACTIVOS
Etapa fundamental en la que se deben tener en cuenta todos los recursos con los que cuenta la organización, tanto en formato físico, como en formato digital. Además, es conveniente catalogar otras
características de los activos como su tamaño, ubicación o departamentos que intervienen en su gestión.
► PASO 2 – CRITERIOS DE CLASIFICACIÓN
Cada empresa es un mundo y cada una debe escoger los criterios que mejor se adapten a sus circunstancias. Estos pueden ser las necesidades o requisitos de confidencialidad, integridad y disponibilidad de cada activo
para las actividades principales de la empresa. Un ejemplo orientativo sobre cómo clasificarla en base a la confidencialidad de la misma sería:
► PASO 3 – CLASIFICAR CADA ARCHIVO
El siguiente paso consiste en etiquetar cada activo de forma adecuada, un ejemplo sería añadiendo etiquetas al comienzo del nombre del archivo.
También podrían utilizarse marcas de agua o códigos de color.
► PASO 4 – TRATAMIENTO DE LA INFORMACIÓN
El siguiente paso consiste en elaborar un listado con los controles de seguridad que se llevarán cabo para proteger cada activo. Un ejemplo del tratamiento que recibirá cada tipo de información, en función de su confidencialidad, será:
► Limitar el acceso de personas o grupos. Se deberá llevar un control de accesos para que la información sea
accesible, únicamente, por el personal que la necesite para su trabajo, según los roles o perfiles. Por ejemplo,
los datos de clientes no son necesarios para el personal de RRHH, ni los cv de candidatos a un puesto deben
ser accesibles para los comerciales. No todos los empleados deben tener acceso a todos los recursos.
► Cifrado.
► Copias de seguridad.
► Medidas específicas como las indicadas en el recurso formativo anterior relativas al cumplimiento de la
LOPDGDD u otra normativa que aplique a empresas del sector.
► Medidas específicas para la información sujeta a acuerdos de confidencialidad.
2. Cifrado de la información
A la hora de proteger la información en formato electrónico, una de las medidas más eficaces es el cifrado de la información [Ref. – 3]. Mediante esta técnica podemos ofuscar cualquier fichero y hacerlo inaccesible a otras personas que no sepan la clave de descifrado.
El cifrado es una de las mejores medidas de seguridad para el almacenamiento y transmisión de información sensible, especialmente a través de soportes y dispositivos móviles o servicios de almacenamiento en la nube.
Para que la información cifrada sea lo más confidencial posible se han de seguir una serie de recomendaciones:
► la clave elegida para el cifrado debe ser lo más robusta posible;
► se ha de escoger un algoritmo criptográfico fuerte, preferiblemente de dominio público, como AES-256, evitando el uso de aquellos que ya ha sido comprometida su robustez;
► cada cierto tiempo se debe comprobar que el método criptográfico elegido no es vulnerable;
► la perdida de la clave de descifrado imposibilitará el acceso a la información. Se debe almacenar en un lugar seguro y del que se pueda recuperar;
► la herramienta de cifrado, como sucede con todo el software, debe estar actualizada a la última versión.
Aunque existen múltiples herramientas para el cifrado de información, muchas aplicaciones de compresión de ficheros y ofimática disponen de la posibilidad de comprimir con contraseña, lo que puede ser suficiente, en la mayoría de los casos, si la contraseña utilizada es lo más robusta posible.
3. Metadatos, riesgos y cómo eliminarlos
Un «metadato» es aquella información que incluye ficheros digitales pero que no forma parte del contenido. Algunos ejemplos de metadatos son la fecha de creación, la fecha de modificación o el autor del fichero.
Tenemos que tener en cuenta que cada tipo de fichero tiene sus propios metadatos. Por ejemplo, mientras que un fichero ofimático como un Word puede contener el autor del documento, una imagen puede incluir además sus dimensiones, información de dónde se tomó la foto o incluso el modelo de cámara utilizado.
Aunque pueden ser muy útiles, en algunos casos pueden proporcionar información valiosa sobre nosotros a los ciberdelincuentes como nombres de usuario, fechas de creación o modificación de los documentos, ubicación de las fotografías, aplicación utilizada, etc.
Por ello, debemos eliminar los metadatos antes de enviar el fichero a otra persona o empresa, subirlos a la página web de la empresa o a un servicio de almacenamiento en la nube.
Ilustración 1. Los tres pilares de la seguridad de la información
Ilustración 2. Pasos para borrar los metadatos mediante Windows 2
La mayoría de programas de ofimática más utilizados incorporan funcionalidades para eliminar esta información.
También se puede hacer desde el propio sistema operativo como es el caso de Windows mediante la opción de botón derecho -> Propiedades -> Detalles. A continuación, se selecciona «Quitar propiedades e información personal» y se abrirá una nueva ventana. Se selecciona la opción «Quitar las siguientes propiedades de este archivo» y posteriormente «Seleccionar todo». Por último, clic en «Aceptar» y el proceso de borrado de metadatos ha terminado.
4. Referencias
► Agencia Española de Protección de Datos – https://www.aepd.es/es
► Consultoría & Desarrollo IT Firma-e –
► Revista Expansión – https://expansion.mx/manufactura/especiales/importancia-de-la-informacion
Archivos adjuntos1
-
Add a note