Seguridad de datos empresariales

Actualmente la mayoría de los documentos que forman parte de la vida de una empresa existen de forma electrónica. Algunos ejemplos son:

  • E-mails
  • Facturas
  • Cotizaciones
  • Planos de diseño
  • Minutas de las juntas
  • Presentaciones de planes de negocio
  • Estados financieros

Esta situación proporciona generalmente mucha comodidad, ya que la información puede ser enviada/consultada/generada/etc. de forma rápida y sencilla, desgraciadamente este “cambio tecnológico” también trae consigo graves desventajas en el ámbito de seguridad, porque eventos indeseados como robos, extravíos o pérdidas debido a fallas en los equipos de computo, pueden ocasionar la pérdida de la confidencialidad de los datos o la imposibilidad de acceder a la información deseada.

Dada la gran cantidad de información que se puede almacenar en una sola computadora, la perdida de esta puede significar literalmente una tragedia de consecuencias funestas.

A continuación, ordenadas en orden ascendente de acuerdo la dificultad para su implementación, se dan algunas recomendaciones para disminuir los daños causados por la pérdida o fuga de datos.

Uso de antivirus y firewall

El objetivo del uso de un antivirus en un sistema de cómputo es evitar que el sistema se contamine con algún virus informático que puede provocar la pérdida de información o que un criminal (hacker) bloquee al acceso a la información, lo cual suele estar acompañado de un chantaje, con el cual se pide dinero a cambio de restaurar el sistema a su estado inicial. El pago del dinero solicitado no garantiza que la información vaya a ser recuperada, que la información se mantenga integra e inalterada, ni tampoco que el criminal dejará de tener acceso a la información.

El uso de un firewall correctamente configurado restringe el acceso a la información desde sistemas remotos no autorizados conectados a la misma red o a internet. Ademas un firewall puede restringir también que ciertas aplicaciones compartan datos a sistemas remotos.

Es generalmente posible establecer una contraseña para la modificación de la configuración tanto de un firewall como de un antivirus.

Proteger con contraseña el inicio de sesión

Debido a la enorme cantidad de información que se puede almacenar en casi cualquier equipo de computo (incluidos tablets y celulares), la sensibilidad de la información almacenada, el acceso a la información compartida en una red interna de una empresa, tener sistemas computacionales no protegidos con contraseña es una muy mala idea.

Afortunadamente todos los sistemas operativos actuales ofrecen por default la posibilidad de estableces una contraseña u otros medios de autentificación para poder iniciar sesión. Sin embargo, muchos sistemas operativos ofrecen también la posibilidad de configurar el inicio de sesión sin contraseña, lo cual muchas personas hacen para ahorrarse “la molestia” de tener que introducir la contraseña cada vez que se inicia sesión o bloquea la pantalla, haciendo así al sistema vulnerable a robo de información.

Respaldos de forma periódica

Después de tantos años en que los que la información se archiva electrónicamente, casi todos hemos vivido la pérdida de datos (fotos, trabajos para la escuela, documentos personales, etc.), por ejemplo cuando el disco duro de la computadora se descompone, o un disco duro externo se cae, o nos roban un celular en el metro o en un asalto, una tarjeta micro SD del celular ya no funciona, se meten a robar a casa y se llevan equipo electrónico, etc. Esta pérdida de información se podría haber minimizado si se hubiera hecho un respaldo y ese respaldo se hubiese manejado de manera correcta.

La mejor forma de respaldar es hacerlo de forma periódica y de manera automatizada. Los respaldos deben manejarse de manera sensata, por ejemplo, guardarlos en una locación distinta al equipo respaldado, darles un nombre apropiado, evitar la duplicación de datos, etc.

Contraseñas distintas y seguras para los servicios en linea y\o locales

Es importante ser consciente de la importancia de tener contraseñas seguras y distintas para cada uno de los servicios y/o sistemas de cómputo, de no ser así en el dado caso de que una contraseña caiga en las manos equivocadas mucha información e incluso recursos financieros estarían comprometidos.

Para administrar las 1001 contraseñas que hoy en día son necesarias para los 1001 servicios y dispositivos electrónicos, es recomendable contar con un software que ayude a tal propósito. Un software open source realiza esta función de forma muy satisfactoria es Keepass.

Utilizar servicios de almacenamiento de información en linea para documentos importantes

Servicios de almacenamiento de información en linea como Dropbox, iCloud, Google Drive o OneDrive son una alternativa fácil para el almacenamiento de archivos en linea que después pueden ser accedidos en cualquier momento, prácticamente desde cualquier parte del mundo, desde casi cualquier computadora/tablet/celular.

Las grandes empresas difícilmente ocuparían los servicios mencionados, para así evitar la posibilidad de que su información caiga en manos indeseadas (espionaje industrial). Estas empresas generalmente tienen soluciones internas donde se implementan servicios de “almacenamiento nube” o “cloud computing”. Generalmente solo los equipos que forman parte de la intranet de la empresa tienen acceso a este servicio.

Para empresas medianas, una posible solución en el caso que no se desee recurrir a los servicios ofrecidos por empresas externas, y que no tengan la capacidad de desarrollar soluciones propias, es ownCloud.

Guardar documentos importantes de forma encriptada

Las ventajas de encriptar archivos en una computadora/tablet/telefono celular son:

  • Se pueden compartir archivos encriptados, por ejemplo via e-mail, y en el caso de que el e-mail sea leido por una persona no autorizada, si esta persona no tiene la contraseña, no podrá hacer uso del archivo.
  • En el caso de que una persona no autorizada obtenga acceso al disco duro, memoria SD, o cualquier otro dispositivo de almacenamiento de datos, los archivos protegidos con contraseña no podrán ser accedidos sin la contraseña.

No se tiene que perder de vista que la contraseña de entrada al sistema operativo no protege los archivos de ser leídos, sino solo el acceso a ellos desde el sistema operativo. Lo que significa que si un disco duro es “conectado” a otro sistema operativo, los archivos podrán ser leídos sin ningún problema, a menos que el disco duro completo esté encriptado.

Existe varias soluciones para proteger con contraseña el acceso a archivos. Los métodos y filosofías bajo los cuales se lleva a cabo la encriptación de archivos varía de solución a solución y se debe de evaluar cual es la más adecuada de acuerdo o lo que se requiere.

Algunas aplicaciones para encriptar archivos en una computadora son:

Es posible también encriptar archivos guardados en una tablet/teléfono celular. 7-zip y Encdroid son ejemplos de aplicaciones que sirven para ese propósito.

Encriptar discos duros

Las ventajas de encriptar todo el contenido del disco duro es que sin la contraseña no será posible leer absolutamente ningún archivo almacenado en el. Es decir, aun cuando ese disco duro se intente leer desde otro sistema operativo, esto no será posible.

Las soluciones para el encriptado del disco duro son parte del sistema operativo instalado. La solución para Windows se llama BitLocker, y está disponible en todas las versiones superiores a la home edition. De igual forma las distribuciones de Linux al momento de instalarlas ofrecen la posibilidad de encriptar el disco duro. Android y iOS tienen también la posibilidad de encriptar todo el contenido del disco duro. En el caso de los dispositívos Android a los cuales se les puede insertar una memoria externa, es necesario como procedimiento adicional, encriptar el contenido de la memora externa de forma ex profesa (Aquí un como).

De suma importancia resulta hacer respaldos periódicos de los datos, ya que si el sistema operativo que controla la encriptación se corrompe de forma irreversible por alguna razón, los archivos quedarán sin poder ser accedidos.

Educación / Concientización para empleados

La educación de los empleados en materia de seguridad informática es en realidad una de las mejores armas que puede tener una empresa para combatir todos los peligros que acechan en el mundo virtual.

Entre las cosas que los empleados tienen que aprender están:

  • saber identificar correos electrónicos apócrifos (phishing)
  • no instalar software proveniente de fuentes poco confiables
  • clasificación y correcto manejo de los datos de acuerdo a su nivel de confidencialidad

Los empleados tienen que estar al corriente de los métodos que los criminales cibernéticos usan para perjudicar a las empresas, para que ellos puedan identificar estos peligros cuando ellos sean expuestos a ellos y reaccionar de la manera correcta, fungiendo así como primera línea de defensa contra los fraudes, extorsiones y pérdidas de datos.

Implementación de medidas para la utilización de métodos informáticos seguros

Las medidas que coadyuvan a mantener la seguridad empresarial se pueden dividir en dos categorías. Aquellas que se pueden forzar por medio de software y aquellas que forman parte de las reglas de trabajo.

Entre las primeras se encuentra por ejemplo las directrices a seguir para las contraseñas de los sistemas operativos de los dispositivos que se conectan a la red interna de la empresa.

  • cambiar la contraseña cada 6 meses
  • definir un mínimo número de caracteres
  • uso obligatorio de minúsculas y mayúsculas
  • uso de números
  • uso obligatorio de símbolos (!”#$%&/()=?¡)
  • prohibir el uso de contraseñas empleadas anteriormente
  • etc.

Entre las segundas se encuentran por ejemplo la prohibición del uso de memorias USB para intercambiar información con el objetivo de evitar el esparcimiento de algún virus informático, el prohibir el uso de discos duros externos para evitar la fuga de datos, etc.

Encriptar comunicación (e-mails)

Encriptación de E-mails

La ventaja de proteger el contenido de un e-mail con contraseña, o incluso con algún otro método más seguro como PKI, es que solamente la persona a la que va enviada el correo va a tener acceso a el. De esta forma se esta protegido contra el espionaje industrial.

Usos de VPN

En ocasiones es necesario el acceso a la red de la empresa de manera remota. Para hacerlo de manera segura es necesario hacerlo a través de una VPN, de esta forma la comunicación entre la computadora fuera de la empresa y el servidor de la empresa estará encriptada, de tal forma que si alguien esta monitoreando la conexión (man in the middle) recibirá secuencias de datos que no sabrá como interpretarlos.

Conclusiones

La implementación de todos los métodos presentados y eventualmente otros más, puede representar para una empresa un gasto que se sale del presupuesto que la empresa podría emplear. En materia de seguridad informática se pueden emplear recursos hasta quedar en banca rota, por otro lado, la perdida de información o un ataque cibernético pueden también hacerle mucho daño a una empresa. El objetivo entonces debe de ser encontrar un balance razonable, que permita a la empresa sentirse segura y limitar al mínimo las perdidas en el caso de algún ataque exitoso por parte de un criminal cibernético.

Gráfica costo vs. riesgo de seguridad y punto optimo que determina la inversión en seguridad recomendada en función del costo que representaría una brecha de seguridad.

Cabe mencionar que los consejos mencionados no solo son aplicables en el ámbito empresarial sino que también en la vida privada. De hecho implementar todos o algunos de los puntos anteriormente presentados con el manejo de los datos personales es un buen hábito que fácilmente puede pagar dividendos.

Autor: Arturo González

mexicano, ingeniero, programador

Deja un comentario