Desde el año 1988, cada 30 de noviembre, se celebra el Día Internacional de la Seguridad de la Información, bajo el nombre de Computer Security Day (día de la seguridad informática). Se trata de una iniciativa de la Association for Computing Machinery (ACM), cuyo objetivo es concienciar de la importancia de proteger la información a través de una serie de medidas de seguridad en los sistemas y entornos en los que se opera.

El CSD se conmemora como consecuencia del primer caso de ‘malware’, denominado como el ‘Gusano de Morris’, que afectó al 10% de los equipos conectados al predecesor de internet, la Arpanet, el 2 de noviembre de ese mismo año. Este incidente, sumado al creciente uso de los ordenadores como herramientas de trabajo, tanto para las empresas como para los gobiernos, puso de manifiesto los riesgos a los que se exponía la información sensible.

Este día se fijó con el objetivo de concienciar y recordar a las compañías, pero sobre todo a las personas, la importancia que tiene adoptar buenas prácticas que favorezcan la protección de la información de cara al nuevo año.

¿Quién maneja la información en mi organización?

Esta debería ser la primera pregunta que nos tendremos que hacer antes de poner en marcha las medidas orientadas a garantizar la seguridad de la información.

Controlar quién accede a la información de nuestra empresa será el primer paso para protegerla.

Para ello, tendremos que determinar quién tendrá permisos para acceder a la información, cómo, cuándo y con qué finalidad. Y para establecer este control de accesos habrá que tener en cuenta aspectos como la, cada vez mayor, descentralización de la información entre equipos, redes remotas o de terceros o el uso de dispositivos móviles en centros de trabajo que en ocasiones son de propiedad privada del empleado (BYOD).

Principales medidas

Política de usuarios y grupos. Se trata de definir una serie de grupos que tendrán acceso a una determinada información, teniendo en cuenta los siguientes aspectos:

  • área o departamento al que pertenece el empleado
  • tipo de información a la que tendrá acceso
  • operaciones que podrá realizar sobre la información que tenga acceso.

Asignación de permisos. Establecer perfiles de usuario y a qué grupos pertenecerán. Además, habrá que concertar qué acciones podrán realizar sobre la información: creación, lectura, borrado, modificación, copia, etc. Como norma general, se otorgará el mínimo privilegio a la hora de establecer estos permisos.

Creación, modificación y borrado de las cuentas de usuario. Deberá existir un procedimiento para realizar estas acciones con las cuentas de los usuarios. A la hora de crear una cuenta a un usuario, deberá detallarse qué acciones se le permiten así como dotarle de unas credenciales de acceso que le serán entregadas de forma confidencial. Además, se le informará de la política de contraseñas de la organización, que deberán ser robustas y cambiadas cada cierto tiempo.

Cuentas de administración. Son las más delicadas ya que cuentan con los permisos necesarios para realizar cualquier acción sobre los sistemas que administran. Por lo tanto, habrá que tener en cuenta una serie de aspectos como los siguientes:

  • únicamente utilizarlas cuando sean necesarias labores de administración
  • utilizar el doble factor de autenticación para acceder como administrador
  • registrar todas las acciones mediante un registro de logs
  • evitar que los permisos de administración sean heredados
  • utilizar contraseñas robustas y cambiadas cada cierto tiempo
  • someterlas a auditorías periódicas.

Mecanismos de autenticación. Se deberá definir e implantar los mecanismos de autenticación más adecuados a la hora de permitir el acceso a la información de nuestra empresa.

Registro de eventos. Es necesario que todos los eventos relevantes en el manejo de la información queden registrados convenientemente, reflejándose de manera inequívoca quién accede a la información, cuándo, cómo y con qué finalidad.

Revisión de permisos. Se deberán realizar revisiones periódicas de los permisos concedidos a los usuarios.

Revocación de permisos y eliminación de cuentas. Si finaliza la relación contractual con un trabajador, será imperativo revocar sus permisos, eliminar sus cuentas de correo y sus accesos a repositorios, servicios y aplicaciones.

El primer paso para preservar la integridad de la información será establecer una política de seguridad que gestione el control de los accesos a la misma. Aprovechando el Día Internacional de la Seguridad de la Información, queremos incidir en la importancia de proteger el principal activo que maneja cualquier  organización. Para ello, tendremos que controlar quién accede a la información, cómo, cuándo y para qué.

Fuente: https://www.incibe.es/protege-tu-empresa/blog/dia-internacional-seguridad-informacion-el-control-accesos