Introducción a la gestión de la seguridad de la información. ¿Por qué proteger la información?
La información es un activo fundamental de la empresa. A eso hay que añadir que, a este activo, se encuentran ligados los recursos con los que se trata dicha información. Pensemos que, en el caso de la información que tenemos en papel, los recursos pueden ser los archivadores o armarios en las que se guardan nuestros expedientes; y, en el caso de la información que tratamos de manera informatizada, los recursos serán los equipos informáticos, soportes (como discos duros externos o pendrives) o aplicaciones desde las que se trata dicha información.
Y, no olvidemos entre dichos activos fundamentales, uno de los más importantes, los recursos humanos.
Tomando esto como punto de partida, ahora planteo las siguientes preguntas para encaminar la cuestión:
- ¿Cuánto tiempo podría funcionar nuestra empresa sin que podamos tener acceso a la información diaria que tratamos?
- ¿Estaría la empresa preparada para responder a un incidente de seguridad que afectase a la información destruyéndola o modificándola?
- ¿Cuánto pagaría mi competencia por mi información confidencial?
- ¿Cumplimos la Ley Orgánica de Protección de Datos o la Ley de Comercio Electrónico?
Plantearse estas preguntas y, sobre todo, la respuesta que le demos a las mismas, va a ser el primer paso para darnos cuenta de la necesidad de gestionar la seguridad de la información que tratamos en nuestra empresa.
Existen estándares internacionales que proporcionan modelos para la creación, implementación, mantenimiento y mejora de un sistema de gestión de seguridad de la información (SGSI). En concreto, la norma UNE-ISO/IEC 27001 proporciona un modelo certificable, es decir, que un órgano certificador acreditado puede certificar que nuestra empresa cumple los requisitos definidos en dicha norma para la gestión de la seguridad de la información.
Puede que nos interese, de cara a nuestros clientes, mostrarles nuestro sello de entidad certificada en base a dicha norma, que acredita que gestionamos la seguridad de nuestra información. Pero, antes de llegar hasta ese sello de “garantía de seguridad”, nos tiene que quedar claro que el fin último de implantar un sistema de gestión de seguridad de la información, debe ser una plena concienciación, sobre todo por parte de la dirección de la empresa (que tiene que trasladar a todo el personal de la misma), de la necesidad de gestionar de manera adecuada la información que se maneja en la misma.
Esa concienciación vendrá derivada por varias causas, entre ellas, por la importancia que tiene para el desarrollo normal de la actividad de la empresa dicha información y, por el perjuicio que puede suponer una pérdida de nuestra información, que tenga trascendencia tanto de puertas para dentro, como de puertas para afuera. Y aquí estoy pensando en pérdidas financieras, daño a la imagen de la empresa, pérdida de clientes, denuncias y multas o el propio coste de la recuperacion de datos.
Analizar los riesgos que existen sobre mi información
Primera conclusión, entonces, antes de seguir: los activos de información son un conjunto de elementos que forman parte de nuestro negocio y que nos resultan fundamentales para el desarrollo del mismo.
Entre dichos activos de negocio encontramos: los datos como tal, los equipos informáticos que albergan dichos datos (servidores, equipos locales), las aplicaciones que nos permiten tratar dichos datos (sistemas operativos, paquetes ofimáticos, CRM, bases de datos,…), personas que tratan dicha información (recursos humanos), ubicaciones (sede física en la que se encuentra nuestra empresa), comunicaciones, etc.
Pues bien, todos esos activos están sometidos a una serie de amenazas que, en caso de materializarse, pueden hacer daño en el activo e impactar sobre nuestro negocio.
Al proceso de determinar qué amenazas y vulnerabilidades existen sobre nuestros activos, se le llama análisis de riesgo. Por ejemplo, ¿qué amenazas pueden afectar a los activos de información de la empresa? Estas podrían ser algunas de ellas:
- Destrucción de la información por errores de usuarios (alguien borra una base de datos que no debe del servidor)
- Destrucción de la información por robo o pérdida (nos roban un equipo portátil o lo perdemos en el aeropuerto)
- Destrucción de la información por daño eléctrico o de agua (un pico de tensión estropea nuestro equipo o servidor. Una tubería de rota provoca que caiga agua sobre nuestro servidor)
- Difusión de software dañino (un virus nos destruye parte de nuestros datos)
Así pues, analizar el riesgo, consistirá en determinar qué amenazas pueden causar un daño sobre nuestros activos. Y, una vez identificadas las amenazas, habrá que establecer salvaguardas para que no se produzcan o para minimizar el daño que, en caso de producirse, pueden provocar sobre nuestros activos. El establecimiento de esas salvaguardas implica que estamos tratando o gestionando el riesgo.
Pero antes de terminar de desmadejar el hilo con las salvaguardas, veamos sobre qué ámbitos distintos de la información pueden “atacar” las amenazas. Nos planteamos tres ámbitos o propiedades que queremos garantizar sobre nuestra información:
- La disponibilidad: la propiedad por la que nuestros sistemas de información funcionan correctamente en todo momento y podemos acceder a la información que necesitamos.
- La integridad: la propiedad por la que la información que se alberga en nuestros sistemas no ha sido manipulada ni alterada.
- La confidencialidad: la propiedad por la que nuestra información es privada y sólo se comunica a las personas autorizadas.
Garantizar la seguridad de la información, gira en torno a estas tres propiedades. Por ejemplo, si se materializase la amenaza de difusión de software dañino, podría afectar a la disponibilidad de la información, pues un virus me podría impedir acceder a mi equipo.
Si se materializase la amenaza de error cometido por un usuario, podría afectar a la integridad de la información pues algún usuario podría haber modificado cierta información.
O, si se materializase la amenaza de robo de equipos, podría afectar a la confidencialidad de la información, si el ladrón accede a información confidencial albergada en los equipos.
Las salvaguardas frente a las amenazas sobre la información
Una vez identificadas las amenazas que podrían afectar a nuestros activos de información, es necesario gestionarlas que, como ya hemos mencionado más arriba, implica establecer mecanismos que impidan que se materialicen dichas amenazas causando algún daño sobre la información de la empresa. A esos mecanismos los vamos a llamar controles o salvaguardas.
Resumiendo, entonces, lo que hemos visto hasta aquí: primero hacemos un análisis de riesgo, identificamos qué amenazas podrían afectar a nuestros activos y, una vez identificadas, establecemos una serie de controles que eviten o amortigüen el impacto sobre nuestros activos. O, en caso de que se produzca dicho impacto, controles que nos permitan recuperarnos rápidamente del mismo.
La norma UNE-ISO/IEC 27001 propone un total de ciento treinta y tres (133) controles cuya selección pueden llevarse a cabo en función de las amenazas que se hayan detectado. La propia norma indica que no son exhaustivos, en el sentido de que, a alguna empresa, le pueden resultar insuficientes los controles que se plantean aquí (imaginemos una central nuclear, por ejemplo). En cualquier caso, si pretendemos certificar nuestro sistema de gestión de seguridad de la información en base a esta norma, tendremos que justificar por qué excluimos, si es el caso, los controles que excluyamos.
Con lo visto hasta aquí, cuando oigamos que se quiere implantar un sistema de gestión de la seguridad de la información (SGSI), no será otra cosa que, una herramienta que nos proporciona unos mecanismos de protección y salvaguarda para nuestra información y para los sistemas que tratan dicha información.
Una herramienta así es necesario documentarla para que todo el personal de la empresa conozca las funciones que se derivan de su tratamiento de la información. Se generarán, por tanto, procedimientos que será necesario implantar para que la gestión funcione. O, al revés, documentar procesos que ya estén implantados, para que el personal conozca en qué consisten dichos procedimientos.
De un modo u otro, algunas cuestiones que considero básicas documentar y, sobre todo, implantar, son, por ejemplo:
- Procedimiento de copias de seguridad y seguridad de la información y realización efectiva de las copias.
- Disponer de un inventario de activos de información y un catálogo que nos permita tener un control sobre qué información del la empresa tratan los recursos humanos.
- Una política de uso de los sistemas de información.
- Una normativa para la destrucción segura o borrado seguro de la información.
- Contratos adecuados con los terceros prestadores de servicios (hosting, housing, empresa de limpieza, gestoría, etc).
- Procedimiento de gestión de incidencias.
- Control de acceso lógico a los sistemas: establecimiento de perfiles de usuario y contraseñas individuales para acceder a los equipos.
- Encriptación de la información confidencial que se extraiga de las dependencias de la empresa, por ejemplo, en ordenadores portátiles o dispositivos externos como discos duros externos o pendrives.
20 de mayo de 2010
5 de mayo de 2010
Recuperación de datos: empresas especializadas
Solo el 7% de las pérdidas de datos tiene su origen en los efectos dañinos de los virus. El 44% se debe a fallos del hardware y un 32% a errores humanos. Por fortuna, los profesionales pueden devolvernos nuestra información
Antes de entrar en materia es importante que definamos qué es realmente una pérdida de datos. De forma rigurosa, es todo aquel fallo, con frecuencia totalmente inesperado, que impide el acceso a la información que alberga un dispositivo de almacenamiento. Esto no significa que los datos no permanecen en el soporte, sino que, sencillamente, no podemos acceder a ellos utilizando las técnicas y recursos que un usuario medio tiene a su disposición. Curiosamente, la incidencia de los virus informáticos en este ámbito es relativamente baja (solo un 7% de las pérdidas de datos están causadas por estos agentes), mientras que la mayor parte de los errores están provocados por fallos del hardware (44%) y equivocaciones humanas (32%). El software es el responsable del 14% de las pérdidas, y el 3% restante se debe a desastres naturales.
La cámara limpia
El proceso de recuperacion de datos puede abordarse de forma remota o incluso en las instalaciones del cliente si éste lo requiere, pero el análisis exhaustivo del hardware debe realizarse en alguna de las cámaras limpias que RecuperaData tiene en su laboratorio de Vizcaya. El cometido de estos dispositivos es filtrar las partículas que se encuentran en suspensión en el aire, de manera que la necesidad de abrir el chásis de un disco duro para acceder directamente a los platos no ponga en grave riesgo la integridad de los datos.
Una velocidad de rotación de 4.200 rpm equivale aproximadamente a una velocidad lineal de 150 Km/h. Y hay discos mucho más rápidos capaces de girar a un máximo de 15.000 rpm. La distancia existente entre el material magnético que recubre la superficie de los platos y los cabezales de lectura y escritura es de 0,012 mm, por lo que es esencial que ninguna partícula presente en el aire supere ese tamaño, pues, de lo contrario, podría depositarse entre uno de los platos y el cabezal, y a esas velocidades de giro dañaría gravemente el disco y podría provocar la pérdida irreversible de los datos.
Las cámaras limpias garantizan, precisamente, que las partículas que logren depositarse en el interior de la unidad no superarán ese tamaño, por lo que resultarán totalmente inocuas. Al mismo tiempo, limitan su cantidad. La responsabilidad de estas tareas recae en el filtro de precisión quirúrgica que incorporan estos dispositivos y en un sofisticado ventilador activo que se encarga de renovar continuamente el aire del interior de la cámara.
La posterior imagen
Una vez concluido el análisis físico de la unidad dañada, los técnicos elaboran un diagnóstico y generan una imagen que aglutina en bruto la estructura lógica de la superficie del disco que ha sido posible leer. RecuperaData dispone de una amplia red de expertos en todos los sistemas de ficheros que existen, de manera que son estos técnicos los responsables de analizar minuciosamente estas imágenes de disco y recuperar los datos de los clientes.
Los servicios de las empresas especializadas en la recuperación de datos resultan esenciales en el ámbito profesional debido a que todas las compañías, independientemente de su sector de actividad, almacenan en algún soporte informático el registro de su ejercicio mercantil, su base de datos de clientes, etc. Por esta razón, la pérdida de esta información no es asumible y contar con soluciones de recuperación profesionales resulta vital. Pero también es importante en el ámbito doméstico. Y es que un número elevado de usuarios aglutina en su disco duro gran cantidad de información que desea preservar. El mejor ejemplo son las fotografías digitales, que a menudo capturan instantes irrepetibles.
El coste del servicio de recuperación varía habitualmente en función del tipo de avería del disco y del plazo de tiempo en el que debe realizarse este proceso. Sin embargo, RecuperaData (www.recuperadata.com / 902 902 716), compañía experta en la materia, realiza el diagnóstico en unas pocas horas y ofrece presupuestos sin compromiso.
Antes de entrar en materia es importante que definamos qué es realmente una pérdida de datos. De forma rigurosa, es todo aquel fallo, con frecuencia totalmente inesperado, que impide el acceso a la información que alberga un dispositivo de almacenamiento. Esto no significa que los datos no permanecen en el soporte, sino que, sencillamente, no podemos acceder a ellos utilizando las técnicas y recursos que un usuario medio tiene a su disposición. Curiosamente, la incidencia de los virus informáticos en este ámbito es relativamente baja (solo un 7% de las pérdidas de datos están causadas por estos agentes), mientras que la mayor parte de los errores están provocados por fallos del hardware (44%) y equivocaciones humanas (32%). El software es el responsable del 14% de las pérdidas, y el 3% restante se debe a desastres naturales.
La cámara limpia
El proceso de recuperacion de datos puede abordarse de forma remota o incluso en las instalaciones del cliente si éste lo requiere, pero el análisis exhaustivo del hardware debe realizarse en alguna de las cámaras limpias que RecuperaData tiene en su laboratorio de Vizcaya. El cometido de estos dispositivos es filtrar las partículas que se encuentran en suspensión en el aire, de manera que la necesidad de abrir el chásis de un disco duro para acceder directamente a los platos no ponga en grave riesgo la integridad de los datos.
Una velocidad de rotación de 4.200 rpm equivale aproximadamente a una velocidad lineal de 150 Km/h. Y hay discos mucho más rápidos capaces de girar a un máximo de 15.000 rpm. La distancia existente entre el material magnético que recubre la superficie de los platos y los cabezales de lectura y escritura es de 0,012 mm, por lo que es esencial que ninguna partícula presente en el aire supere ese tamaño, pues, de lo contrario, podría depositarse entre uno de los platos y el cabezal, y a esas velocidades de giro dañaría gravemente el disco y podría provocar la pérdida irreversible de los datos.
Las cámaras limpias garantizan, precisamente, que las partículas que logren depositarse en el interior de la unidad no superarán ese tamaño, por lo que resultarán totalmente inocuas. Al mismo tiempo, limitan su cantidad. La responsabilidad de estas tareas recae en el filtro de precisión quirúrgica que incorporan estos dispositivos y en un sofisticado ventilador activo que se encarga de renovar continuamente el aire del interior de la cámara.
La posterior imagen
Una vez concluido el análisis físico de la unidad dañada, los técnicos elaboran un diagnóstico y generan una imagen que aglutina en bruto la estructura lógica de la superficie del disco que ha sido posible leer. RecuperaData dispone de una amplia red de expertos en todos los sistemas de ficheros que existen, de manera que son estos técnicos los responsables de analizar minuciosamente estas imágenes de disco y recuperar los datos de los clientes.
Los servicios de las empresas especializadas en la recuperación de datos resultan esenciales en el ámbito profesional debido a que todas las compañías, independientemente de su sector de actividad, almacenan en algún soporte informático el registro de su ejercicio mercantil, su base de datos de clientes, etc. Por esta razón, la pérdida de esta información no es asumible y contar con soluciones de recuperación profesionales resulta vital. Pero también es importante en el ámbito doméstico. Y es que un número elevado de usuarios aglutina en su disco duro gran cantidad de información que desea preservar. El mejor ejemplo son las fotografías digitales, que a menudo capturan instantes irrepetibles.
El coste del servicio de recuperación varía habitualmente en función del tipo de avería del disco y del plazo de tiempo en el que debe realizarse este proceso. Sin embargo, RecuperaData (www.recuperadata.com / 902 902 716), compañía experta en la materia, realiza el diagnóstico en unas pocas horas y ofrece presupuestos sin compromiso.