10 políticas que no deben faltar en la organización
Como experto en seguridad que soy, puedo afirmar que no existe una solución que te proteja al 100%. Antes o después ocurrirá un incidente, y cuando ocurra querrás estar seguro que posees los procedimientos, políticas y controles correctos para minimizar daños en caso de una posible inspección.
De hecho, no es sancionable la pérdida de datos (los reguladores también saben que no existe una protección 100% segura), lo que acarrea una sanción es no tomar las medidas oportunas para protegernos. En caso de auditoría debes demostrar que estas gestionando el riesgo de una manera adecuada. El séptimo mandamiento de la protección de datos dice que debes tomar “las medidas organizativas y técnicas apropiadas” para proteger esos datos.
Obviamente, estas medidas variarán dependiendo del tipo de datos, la naturaleza de la empresa, los recursos disponibles, etc. Pero aquí te presentamos 10 consejos para aplacar la ira de los reguladores.
1. Cifrado completo de disco duro
La mayor parte de las pérdidas de datos se deben a la pérdida accidental un dispositivo –en un taxi, en el tren o durante la clásica noche de viernes en un pub. En este caso demostrar que no existía información confidencial en ese dispositivo es una ardua labor. Si el dispositivo disponía de un cifrado completo, no se necesitan más explicaciones, ya que el inspector sabe que el cifrado protege al dispositivo. Si por el contrario no se dispone de este tipo de cifrado, el inspector lo verá como una clara señal de que encontrará más problemas.
Asegúrate que dispones de informes que atestigüen que los dispositivos han sido cifrados y realiza comprobaciones de que mantienen esa medida de seguridad. Si tu empresa no ha implementado políticas de este tipo, debería ser una prioridad máxima.
2. Cifrado de unidades extraíbles
Una vez que los discos duros están seguros, tendrás que lidiar con las molestas llaves USB y los sistemas de almacenamiento extraíble. Éste es el punto débil de muchas empresas: invierten en tecnología pero los usuarios buscan una manera de franquearla ya que no les facilita el compartir información. Antes que definir unas reglas estrictas e inflexibles (que está demostrado que son menos seguras), prepárate para la auditoría con informes que demuestren que cifráis este tipo de dispositivos.
3. Un sistema de normas efectivo
Una parte de las medidas organizativas y técnicas requeridas consiste en documentar cómo tus “datos” van a ser protegidos. Ya hemos explicado que no hay ninguna garantía al 100% contra la pérdida de información, pero si no has documentado correctamente los procedimientos que empleas en caso de incidente, lo más seguro es que el auditor te machaque a preguntas. Tu sistema de normas será lo primero que revise el auditor, incluso antes de que inspeccione los informes que presentes de controles técnicos y procesos. Debo prevenirte que tener un sistema complejo y tedioso no te va ayudar.
Planifícate y mantén tus políticas en orden.
4. Políticas sobre uso aceptable
Educar a los usuarios no sólo es una parte importante de un sistema de normas efectivo, sino que además es una manera barata de prevenir incidentes. En particular, asegúrate que las normas sobre usos aceptables que atañen a las últimas tecnologías están actualizadas. Por ejemplo ¿está previsto el uso de smartphones desde casa y compartiendo datos con terceros?
5. Antivirus moderno
Gran parte del malware más moderno está diseñado para robar información (por supuesto el tipo de información que te creará un problema). Asegúrate de que estás usando tecnología moderna, no la tradicional. Busca que emplee tecnología HIPS y tecnologías basadas en la nube. Comprar sistemas y no usarlos porque son muy complicados o caros de gestionar no es una buena idea.
6. Prevención de pérdida de datos
Las políticas de prevención de pérdida de datos han estado en boga durante los últimos años. No se trata que pases semanas identificando los tipos de datos que maneja tu empresa, ni que diseñes complejas soluciones en las que identifiques los usuarios que pueden acceder a cada documento. Identifica los datos más confidenciales y obliga a cifrar esa información cada vez que sea compartida ya sea al mandar un correo a un cliente, subiéndola a la nube o copiándola a una llave USB. Ofrece alternativas cuando bloquees aplicaciones. Por lo menos implementarás soluciones y te llevará 2 días no 200, además te servirá para que convencer a los auditores de que te tomas la seguridad de tus datos de forma responsable.
7. Política de contraseñas seguras
Una contraseña débil puede llevar al traste toda tu estrategia de defensa. Crea una norma que introduzca la complejidad suficiente para que sean robustas. Tampoco te pases en esa complejidad, si no, acabarán por escribirla en post-its con lo que no habremos ganado nada. En este video damos unos consejos sobre cómo escoger una buena contraseña.
8. Política de gestión de incidentes
Los incidentes relacionados con seguridad ocurren. Muchas veces al no existir una correcta gestión se magnifican y surgen filtraciones a clientes o a la prensa cuando en realidad su incidencia fue mínima. Si no quieres que la situación se vuelva un caos tienes que implementar una política de gestión de incidentes. En ella involucraremos otros departamentos como legal, marketing o atención al cliente. La idea es que en cuanto ocurra algo todos en la empresa sepan lo que tienen que hacer. Con una gestión eficiente conoceremos con mayor prontitud el alcance del incidente, lo comunicaremos correctamente y minimizaremos su alcance.
9. Protección móvil
Los dispositivos móviles son cada vez más numerosos. Por si fuera poco cada vez almacenan una mayor cantidad datos confidenciales. Todo esto hace que tanto los auditores como los cibercriminales los tengan en su punto de mira. Cada vez surgen soluciones más complejas para cubrir su seguridad. Asegúrate que tienes una idea clara de las necesidades de tu empresa, cíñete a lo básico: contraseñas, bloqueo, cifrado, parcheado de vulnerabilidades y borrado remoto. Una vez que tengas estos puntos bajo control, mantente alerta sobre nuevas amenazas y comprueba que se están cumpliendo tus políticas.
10. Vigilancia fuera de la oficina
Existen muchos elementos de seguridad que pueden que no funcionen eficazmente fuera de los límites de la oficina. Comprueba que elementos como “navegación segura” funcionan cuando los dispositivos se conectan a otros servidores. Control de parches, filtrado web y procedimientos de aviso deben estar activos dentro y fuera de la oficina.
Si sigues estos consejos, la ira de los reguladores no debería recaer sobre ti.
Fuente: INTECO-CERT
De hecho, no es sancionable la pérdida de datos (los reguladores también saben que no existe una protección 100% segura), lo que acarrea una sanción es no tomar las medidas oportunas para protegernos. En caso de auditoría debes demostrar que estas gestionando el riesgo de una manera adecuada. El séptimo mandamiento de la protección de datos dice que debes tomar “las medidas organizativas y técnicas apropiadas” para proteger esos datos.
Obviamente, estas medidas variarán dependiendo del tipo de datos, la naturaleza de la empresa, los recursos disponibles, etc. Pero aquí te presentamos 10 consejos para aplacar la ira de los reguladores.
1. Cifrado completo de disco duro
La mayor parte de las pérdidas de datos se deben a la pérdida accidental un dispositivo –en un taxi, en el tren o durante la clásica noche de viernes en un pub. En este caso demostrar que no existía información confidencial en ese dispositivo es una ardua labor. Si el dispositivo disponía de un cifrado completo, no se necesitan más explicaciones, ya que el inspector sabe que el cifrado protege al dispositivo. Si por el contrario no se dispone de este tipo de cifrado, el inspector lo verá como una clara señal de que encontrará más problemas.
Asegúrate que dispones de informes que atestigüen que los dispositivos han sido cifrados y realiza comprobaciones de que mantienen esa medida de seguridad. Si tu empresa no ha implementado políticas de este tipo, debería ser una prioridad máxima.
2. Cifrado de unidades extraíbles
Una vez que los discos duros están seguros, tendrás que lidiar con las molestas llaves USB y los sistemas de almacenamiento extraíble. Éste es el punto débil de muchas empresas: invierten en tecnología pero los usuarios buscan una manera de franquearla ya que no les facilita el compartir información. Antes que definir unas reglas estrictas e inflexibles (que está demostrado que son menos seguras), prepárate para la auditoría con informes que demuestren que cifráis este tipo de dispositivos.
3. Un sistema de normas efectivo
Una parte de las medidas organizativas y técnicas requeridas consiste en documentar cómo tus “datos” van a ser protegidos. Ya hemos explicado que no hay ninguna garantía al 100% contra la pérdida de información, pero si no has documentado correctamente los procedimientos que empleas en caso de incidente, lo más seguro es que el auditor te machaque a preguntas. Tu sistema de normas será lo primero que revise el auditor, incluso antes de que inspeccione los informes que presentes de controles técnicos y procesos. Debo prevenirte que tener un sistema complejo y tedioso no te va ayudar.
Planifícate y mantén tus políticas en orden.
4. Políticas sobre uso aceptable
Educar a los usuarios no sólo es una parte importante de un sistema de normas efectivo, sino que además es una manera barata de prevenir incidentes. En particular, asegúrate que las normas sobre usos aceptables que atañen a las últimas tecnologías están actualizadas. Por ejemplo ¿está previsto el uso de smartphones desde casa y compartiendo datos con terceros?
5. Antivirus moderno
Gran parte del malware más moderno está diseñado para robar información (por supuesto el tipo de información que te creará un problema). Asegúrate de que estás usando tecnología moderna, no la tradicional. Busca que emplee tecnología HIPS y tecnologías basadas en la nube. Comprar sistemas y no usarlos porque son muy complicados o caros de gestionar no es una buena idea.
6. Prevención de pérdida de datos
Las políticas de prevención de pérdida de datos han estado en boga durante los últimos años. No se trata que pases semanas identificando los tipos de datos que maneja tu empresa, ni que diseñes complejas soluciones en las que identifiques los usuarios que pueden acceder a cada documento. Identifica los datos más confidenciales y obliga a cifrar esa información cada vez que sea compartida ya sea al mandar un correo a un cliente, subiéndola a la nube o copiándola a una llave USB. Ofrece alternativas cuando bloquees aplicaciones. Por lo menos implementarás soluciones y te llevará 2 días no 200, además te servirá para que convencer a los auditores de que te tomas la seguridad de tus datos de forma responsable.
7. Política de contraseñas seguras
Una contraseña débil puede llevar al traste toda tu estrategia de defensa. Crea una norma que introduzca la complejidad suficiente para que sean robustas. Tampoco te pases en esa complejidad, si no, acabarán por escribirla en post-its con lo que no habremos ganado nada. En este video damos unos consejos sobre cómo escoger una buena contraseña.
8. Política de gestión de incidentes
Los incidentes relacionados con seguridad ocurren. Muchas veces al no existir una correcta gestión se magnifican y surgen filtraciones a clientes o a la prensa cuando en realidad su incidencia fue mínima. Si no quieres que la situación se vuelva un caos tienes que implementar una política de gestión de incidentes. En ella involucraremos otros departamentos como legal, marketing o atención al cliente. La idea es que en cuanto ocurra algo todos en la empresa sepan lo que tienen que hacer. Con una gestión eficiente conoceremos con mayor prontitud el alcance del incidente, lo comunicaremos correctamente y minimizaremos su alcance.
9. Protección móvil
Los dispositivos móviles son cada vez más numerosos. Por si fuera poco cada vez almacenan una mayor cantidad datos confidenciales. Todo esto hace que tanto los auditores como los cibercriminales los tengan en su punto de mira. Cada vez surgen soluciones más complejas para cubrir su seguridad. Asegúrate que tienes una idea clara de las necesidades de tu empresa, cíñete a lo básico: contraseñas, bloqueo, cifrado, parcheado de vulnerabilidades y borrado remoto. Una vez que tengas estos puntos bajo control, mantente alerta sobre nuevas amenazas y comprueba que se están cumpliendo tus políticas.
10. Vigilancia fuera de la oficina
Existen muchos elementos de seguridad que pueden que no funcionen eficazmente fuera de los límites de la oficina. Comprueba que elementos como “navegación segura” funcionan cuando los dispositivos se conectan a otros servidores. Control de parches, filtrado web y procedimientos de aviso deben estar activos dentro y fuera de la oficina.
Si sigues estos consejos, la ira de los reguladores no debería recaer sobre ti.
Fuente: INTECO-CERT
"Como experto en seguridad que soy, puedo afirmar que no existe una solución que te proteja al 100%."
ResponderBorrarUfff bastante profunda esa reflexion, se nota lo "EXPERTO"
Mas humildad por favor, y menos de lo mismo de siempre