Documentos de Académico
Documentos de Profesional
Documentos de Cultura
5 Seguridad
5 Seguridad
DE LA
INFORMACIÓN
Colección
PROTEGE TU EMPRESA
ÍNDICE
ÍNDICE
1- INTRODUCCIÓN.....................................................................................03
2- DESCRIPCIÓN DEL PROBLEMA.............................................................04
3- DIMENSIONES DE LA SEGURIDAD DE LA INFORMACIÓN...................06
4- SELECCIÓN DE SALVAGUARDAS...........................................................08
4.1. IMPORTANCIA DE LA INFORMACIÓN PARA LA EMPRESA..................................... 09
4.2. PASOS PREVIOS A LA SELECCIÓN DE SALVAGUARDAS.......................................... 11
4.3. NATURALEZA DE LOS CONTROLES........................................................................... 13
4.4. RESUMEN DE CRITERIOS DE SELECCIÓN................................................................. 14
5- SALVAGUARDAS BÁSICAS.....................................................................15
5.1. CONTROL DE ACCESO A LA INFORMACIÓN............................................................ 16
5.2. COPIAS DE SEGURIDAD.............................................................................................. 20
5.3. CIFRADO DE INFORMACIÓN...................................................................................... 25
5.4. DESECHADO Y REUTILIZACIÓN DE SOPORTES Y EQUIPOS................................... 26
5.5. ALMACENAMIENTO EN LA NUBE.............................................................................. 28
5.6. CONFIDENCIALIDAD EN LA CONTRATACIÓN DE SERVICIOS................................ 30
6- REFERENCIAS.........................................................................................31
1
Protección de la información
ÍNDICE
ÍNDICE DE FIGURAS
Ilustración 1: Dimensiones de la seguridad de la información......................................... 06
Ilustración 2: Pasos previos a la selección de medidas para proteger la información.12
Ilustración 3: Criterios selección salvaguardas................................................................. 14
Ilustración 4: Soportes para realizar copias de seguridad.............................................. 20
Ilustración 5: Tipos de copias de seguridad...................................................................... 23
ÍNDICE DE TABLAS
Tablas 1: Errores más comunes en el tratamiento de la información en la empresa...... 05
Tablas 2: Ejemplo clasificación información....................................................................... 11
Tablas 3: Ejemplo de perfiles y permisos sobre los activos de información.................. 17
2
Protección de la información
1. INTRODUCCIÓN
En el mundo empresarial, hay una ten- Pensemos, por ejemplo, en las tarifas o
dencia generalizada a considerar como las ofertas que presentamos a nuestros
activos de la empresa únicamente los clientes, las cuales nos permiten posicio-
bienes tangibles: mobiliario, maquinaria, narnos en el mercado o frente a la compe-
servidores, etc. Sin embargo, no debemos tencia, o en nuestros planes estratégicos
olvidar que existen bienes intangibles para el crecimiento de nuestro negocio.
como la cartera de clientes, las tarifas, el Recapacitemos sobre las consecuencias
conocimiento comercial, la propiedad in- que tendría la pérdida de la contabilidad
telectual o la reputación. Todos estos ele- de la organización, la cartera de clientes,
mentos forman parte de la información la información confidencial que tenemos
de nuestra empresa y constituyen sobre nuestros clientes como sus cuentas
uno de los activos más importantes bancarias o las propiedades intelectuales
de nuestra organización. de nuestra empresa.
Existen empresas que basan su negocio Todos estos ejemplos forman parte de la in-
en el tratamiento de información, como formación de nuestra empresa, lo que la con-
las que se dedican a la publicidad, prensa, vierte en un activo vital que debe protegerse
radio, TV, contenidos multimedia, opera- adecuadamente. Esto es lo que conocemos
doras, etc. Pero no debemos pensar que como seguridad de la información.
son las únicas que han de preocuparse
por la seguridad de la información. Es un
error común pensar que en el ámbito de
una pequeña empresa no es necesaria la
protección de la información.
3
Protección de la información
2. DESCRIPCIÓN DEL PROBLEMA
4
Protección de la información
En la empresa estos son los principales errores en el tratamiento de la información y la forma
de evitarlos:
Tabla 1
Errores más comunes en el tratamiento de la
información en la empresa
5
Protección de la información
3. DIMENSIONES DE LA SEGURIDAD
DE LA INFORMACIÓN
6
Protección de la información
La evaluación de los activos de información
de la organización en relación a estas tres
dimensiones de la seguridad determina la
dirección a seguir en la implantación y se-
lección de medidas, también denominadas
controles o salvaguardas.
7
Protección de la información
4. SELECCIÓN DE SALVAGUARDAS
Las salvaguardas son las medidas ne- que consideraremos también medidas
cesarias para proteger la información de organizativas, por ejemplo, implantar
nuestro negocio. un plan de formación, establecer res-
ponsables de los activos o adaptarnos
Para la selección de estas medidas tendre-
para cumplir con la legislación.
mos que fijarnos en los siguientes aspec-
tos: ►► El coste de las medidas será también
un factor a considerar, pues ha de ser
►► Determinar la importancia de la infor-
proporcional al riesgo [1] que se quiere
mación que manejamos. El sector de
evitar.
negocio puede afectar a la naturaleza
de la información que tratamos, en par-
ticular en lo relativo a la privacidad de
los datos personales de nuestros usua-
rios y por la existencia de información
confidencial, cuya pérdida o deterioro
pueda causar graves daños económi-
cos o de imagen a la empresa.
8
Protección de la información
4.1. IMPORTANCIA DE LA INFORMACIÓN PARA LA
EMPRESA
La legislación sobre protección de datos de carácter personal [2], define datos personales
como «toda información sobre una persona física identificada o identificable (el interesado)».
Una persona es identificable si puede determinarse su identidad, directa o indirectamente.
Esta legislación exige la protección de la seguridad de los datos de carácter personal ante po-
sibles riesgos que afecten a la privacidad de las personas por ejemplo: acceso no autorizado,
uso ilegítimo, modificación no autorizada, discriminación por perfilado o pérdida de datos.
9
Protección de la información
Existen categorías especiales de datos, los
denominados datos sensibles que exigen
una protección reforzada y que están su-
jetos a un régimen jurídico especial. Estos
datos son:
10
Protección de la información
4.2. PASOS PREVIOS A LA SELECCIÓN DE SALVA-
GUARDAS
En primer lugar revisaremos qué información tratamos (bases de datos, archivos, aplicacio-
nes, programas,…) y seleccionaremos la más crítica, la que está sujeta a la ley, la que si nos
faltara, por su confidencialidad o si se corrompiera, paralizaría nuestra actividad y nos aca-
rrearía pérdidas de imagen o económicas. En esta clasificación de la información pode-
mos establecer varios niveles en función de su importancia para la empresa.
Tabla 2
Ejemplo clasificación información
11
Protección de la información
Una vez hayamos clasificado y valorado la criticidad de la información, debemos determinar
su riesgo específico para así enfocar las medidas a evitarlo o subsanarlo. Así, serán diferentes
las medidas para evitar riesgos de fuga de información, de las necesarias para evitar que sea
alterada por personas no autorizadas.
Ilustración 2
Pasos previos a la selección de medidas para
proteger la información
En este punto se puede realizar un análisis de riesgos como se indica en la Guía de Gestión
de Riesgos [1]. Este análisis permite valorar el coste de los posibles incidentes de seguridad
que afecten a la información y priorizar las medidas que se tomen para evitarlos. Este análisis
de riesgos será necesario si se tratan datos de carácter personal pues es esencial para deter-
minar las medidas técnicas y organizativas necesarias para proteger la privacidad.
12
Protección de la información
4.3
4.3. NATURALEZA DE LOS CONTROLES
►► Técnica: medidas de carácter tecnológico dentro del ámbito de la seguridad. Son medi-
das técnicas: antivirus, cortafuegos o sistemas de copias de seguridad.
►► Física: medidas físicas para proteger nuestra organización. Como por ejemplo, acondi-
cionar adecuadamente la sala de servidores frente a riesgos de incendio, inundaciones
o accesos no autorizados, establecer un sistema de control de acceso para entrar en las
oficinas, poner cerraduras en los despachos y armarios o guardar las copias de seguridad
en una caja ignífuga.
Se puede considerar también otro tipo de controles, los de naturaleza legal que persiguen
el cumplimiento legal al que está sujeta la organización en el ámbito de la seguridad de la
información.
13
Protección de la información
4.4. RESUMEN DE CRITERIOS DE SELECCIÓN
Para escoger e implantar aquellos controles que nos ayuden a mejorar la seguridad de la
información, tendremos que atender a:
Ámbito Ámbito
sanitario financiero
Ilustración 3
Criterios selección salvaguardas
14
Protección de la información
5. SALVAGUARDAS BÁSICAS
15
Protección de la información
5.1. CONTROL DE ACCESO A LA INFORMACIÓN
►► Definir los diferentes tipos de información que existen en nuestra organización: datos
de recursos humanos, contabilidad, clientes, marketing, producción, etc.
►► Establecer quién puede acceder a cada tipo de información. Para acometer esta
tarea puede ser útil, si la estructura organizativa lo permite, realizar una matriz que
cruce información con áreas o departamentos que tienen necesidad de acceso a dicha
información (véase el ejemplo orientativo [6]).
16
Protección de la información
PERFILES DE LA INFORMACIÓN
Personal de
Personal Personal de Personal de Personal
atención al
directivo administración informática operario
cliente
Correo
electrónico
Nóminas
Facturación
Página web
Servidor
Pedidos
Almacén
Tabla 3
Ejemplo de perfiles y permisos sobre los
activos de información
La asignación de permisos sobre los recursos que contienen la información puede realizarse
individualmente, por perfiles o por grupos de usuarios. Tanto los sistemas Windows
como los sistemas basados en Unix permiten asignar este tipo de permisos, de manera que
se optimice su gestión.
17
Protección de la información
►► Establecer quién y cómo debe
autorizar el acceso a los diferentes
Asignar permisos individual-
tipos de información. Es necesario
mente a cada usuario puede ser
responder, al menos, a las siguientes
un método más flexible pero
preguntas:
con mayor dificultad de gestión
a medida que el número de
»» ¿Cómo se realiza la solicitud para acce-
usuarios crece.
der a una determinado tipo de infor-
mación?, ¿a través de una aplicación
de incidencias, un correo electrónico,
un formulario en papel?
Si optamos por asignar permi-
sos según perfiles de usuario, »» En el caso de utilizar alguno de los an-
será necesario llevar a cabo un teriores, ¿es suficiente con la solicitud
mayor trabajo inicial para deter- electrónica, o es necesaria una firma
minar a qué accede cada perfil manuscrita?
y qué perfil tiene cada usuario, »» ¿Qué flujo seguirá la solicitud hasta
pero tras esta tarea inicial, la que es autorizada o denegada?
gestión de permisos es más
rápida y eficiente, permitiendo »» ¿Quién tendrá permisos funcionales
una trazabilidad completa de para autorizar o denegar el acceso?
los accesos de cada empleado. »» ¿Quién realizará los cambios a nivel
técnico?
18
Protección de la información
Es vital escoger medios que permitan la Una vez hemos establecido quién y
trazabilidad y que sean proporcionales cómo debe acceder a qué informa-
al volumen de información y tamaño de ción; y quién y cómo debe autorizar
nuestra organización. ese acceso; debemos garantizar que esto
se cumple.
Debemos buscar un equilibrio para que,
garantizando la seguridad, el acceso a Para ello es imprescindible:
una información por parte de un nuevo
►► Establecer mecanismos para revisar
usuario autorizado se realice de manera
periódicamente que los permisos
ágil. Es importante evitar malas prácticas
concedidos son adecuados, haciendo
como el uso de «atajos» que aunque nos
énfasis en los usuarios cuyos accesos
faciliten el trabajo supongan un problema
han sido eliminados o modificados.
de seguridad. Por ejemplo mover infor-
mación de carpetas protegidas a otras no »» Comprobar, anualmente o con la
protegidas, lo que pueden suponer un periodicidad establecida en fun-
control de accesos ineficaz, con graves ción de cada organización, la co-
consecuencias en la confidencialidad de la rrecta asignación de los permisos.
información. En caso de utilizar permisos por
perfiles, verificar por un lado los
permisos concedidos a cada perfil
y por otro, los usuarios asignados
a cada perfil.
19
Protección de la información
5.2. COPIAS DE SEGURIDAD
Las copias de seguridad son la salvaguarda básica para proteger la información. Dependien-
do del tamaño y necesidades de la empresa, los soportes, la frecuencia y los procedimientos
para realizar las copias de seguridad pueden ser distintos [9].
Ilustración 4
Soportes para realizar copias de seguridad
El soporte escogido dependerá del sistema de copia seleccionado, de la fiabilidad que sea
necesaria y de la inversión que deseemos realizar. Estas tres variables van estrechamente
unidas y deben estar en consonancia con la estrategia de nuestra organización.
20
Protección de la información
En la implantación de un sistema de co- ►► Una recomendación podría ser la
pias debemos tener en cuenta al menos siguiente:
las siguientes consideraciones:
21
Protección de la información
En el caso de los sistemas de co- En caso de utilizar la copia total,
pia incremental, únicamente se basta con reponer la totalidad de
copian los archivos que se hayan los datos contenidos en ella.
añadido o modificado desde la
última copia realizada, sea total o
incremental. Pero si utilizamos copias incre-
mentales para reponer la infor-
mación necesitaremos la última
copia total y todas las incremen-
En el sistema de copias di-
tales que se hayan realizado des-
ferenciales cada vez que se
de ese momento (ya que cada
realiza una copia de seguridad,
una de las copias incrementales
se copian todos los archivos que
contiene únicamente las diferen-
hayan sido modificados desde la
cias con la anterior).
última copia completa.
22
Protección de la información
• Copias incrementales diarias
• Copias totales un vez a la semana
• Conservación de las copias totales un mes.
• Almacenamiento de la última copia del mes durante un año
1ª COPIA
Copia completa
Ilustración 5
Tipos de copias de seguridad
23
Protección de la información
►► Si la información almacenada en contienen datos de carácter personal,
las copias es confidencial, debemos podemos estar infringiendo la legis-
valorar la posibilidad de cifrarlas, lación en materia de protección de
para evitar que ante una pérdida o datos. De manera alternativa y más
sustracción de un soporte, sea posi- segura, existen empresas de guarda y
ble acceder a ésta. Por ejemplo, se custodia que garantizan la seguridad
puede considerar información confi- de los soportes que les confiemos. Si
dencial nuestros planes de negocio, utilizamos los servicios de otras em-
la facturación de los clientes, ofertas presas, el cifrado de la información
que presentemos a clientes, datos de puede servirnos para evitar el acceso
contabilidad, gastos y beneficios de la no autorizado en caso de robo de la
empresa, etc. información.
24
Protección de la información
5.3. CIFRADO DE INFORMACIÓN
25
Protección de la información
5.4. DESECHADO Y REUTILIZACIÓN DE SOPORTES Y
EQUIPOS
26
Protección de la información
►► Si por el contrario vamos a desechar
el soporte, debemos garantizar que
nadie puede utilizarlo posteriormente,
y que la información que contiene no
puede ser recuperada. Los soportes
se pueden desechar por múltiples
motivos, como pueden ser mal funcio-
namiento, poca capacidad, antigüedad
o porque ya no es útil
27
Protección de la información
5.5. ALMACENAMIENTO EN LA NUBE
28
Protección de la información
►► Intentar evitar servicios en la nube a la nube», con las claves del servidor, a las
que sean gratuitos. Cuando algo es que el usuario no tiene acceso para evitar
gratuito, el producto somos nosotros, que el proveedor o un atacante que com-
o nuestra información. Los servicios prometa la plataforma cloud tengan acceso
gratuitos en la nube ofrecen a me- a ella. También hay otros servicios que
nudo acuerdos de nivel de servicio envían los datos ya cifrados siendo el usua-
inflexibles o con cláusulas ambiguas rio el único con acceso a los mismos. La
que no dejan nada claro cuáles son las solución más segura es cifrarlos y después
medidas de seguridad que utilizan o la subir la información a la plataforma cloud.
responsabilidad del proveedor.
29
Protección de la información
5.6. CONFIDENCIALIDAD EN LA CONTRATACIÓN
DE SERVICIOS
ALTO SECRETO
CONFIDENCIAL
30
Protección de la información
6. REFERENCIAS
[Ref - 1]. INCIBE, Guía de gestión de riesgos: una guía de aproximación para el empre-
sario - https://www.incibe.es/protege-tu-empresa/guias/gestion-riesgos-guia-empresario
[Ref - 2]. BOE. Legislación. Códigos. Protección de datos de carácter personal - https://
www.boe.es/legislacion/codigos/codigo.php?id=55&modo=1¬a=0&tab=2
[Ref - 6]. INCIBE, Protege tu información, «Ejemplo Clasificación de permisos por per-
files información» - https://www.incibe.es/sites/default/files/contenidos/dosieres/protec-
cion-informacion/protege-tu-informacion-ejemplo-permisos-perfiles-recursos.pdf
[Ref - 9]. INCIBE, Copias de seguridad: una guía de aproximación para el empresario -
https://www.incibe.es/protege-tu-empresa/guias/copias-seguridad-guia-aproximacion-el-em-
presario
31
Protección de la información