sábado, 24 de noviembre de 2018

Almacenamiento y borrado seguro de los datos de la empresa.

El Rincón del Sueko - #rincondelsuekoHola mis queridos lector@s de El Rincón del Sueko. El post de hoy resulta, creo yo, extremadamente interesante. Obvia decir que todas las empresas trabajan en su día a día con información necesaria para el desarrollo de su negocio o actividad, lo que incluye datos de carácter personal de, entre otros, clientes, empleados, candidatos y personas de contacto, datos sobre los que hay que establecer obligatoriamente unas medidas de seguridad para su correcto tratamiento.

Por ejemplo, una de las medidas principales que garantizan la integridad de este tipo de datos durante su ciclo de vida es la realización de copias de seguridad en caso de fallos del sistema que puedan conllevar pérdidas de información; no obstante, también es importante el tratamiento posterior que se hace con los datos una vez que la entidad ya no precisa de su uso.

En este sentido, el INCIBE (Instituto Nacional de Ciberseguridad) ha publicado una guía que explica las pautas a seguir para gestionar y borrar los datos personales o confidenciales una vez se ha dado por finalizado su uso o tratamiento, siempre de acuerdo al principio de calidad de los datos, que implica cesar en el tratamiento cuando ya no exista la finalidad para la cual fueron recabados.

En muchas organizaciones,especialmente en las empresas del ámbito de las TIC (Tecnologías de la Información y Comunicaciones), uno de los activos más valiosos y determinantes para el negocio o actividad es la información que manejan, entendiendo el término información en un sentido amplio, no solo la información estrictamente personal. Esta información ha sido generada en base a la observación y al trabajo diario, y tiene para la entidad un valor superior al de otros activos (por ejemplo, hardware, recursos, componentes...). Por lo tanto, la forma de tratar y de proteger la información será un factor crítico para algunas compañías.

El Rincón del Sueko - #rincondelsuekoHay que diferenciar el concepto general de información del concepto de datos; mientras que el dato es una representación lógica de un ente de manera aislada, la información es un conjunto de datos, procesos y técnicas que dan un significado al dato. Por lo tanto, la seguridad de esta información es vital para muchas empresas, lo que ha supuesto que se hayan emitido distintas normativas (incluidas la LOPD y su reglamento de desarrollo a nivel nacional) que tienen por objeto establecer las pautas y conductas de actuación de las entidades, así como controles —u objetivos de control—, todos ellos con la finalidad de proteger la información. La norma más importante en la materia, dado su carácter internacional, es la denominada ISO 27001.

Sistema de gestión de la seguridad de la información.

En la ISO 27001 se establece y desarrolla el SGSI (Sistema General de la Seguridad de la Información), el cual está constituido por tres elementos claves:
  • Confidencialidad: consiste en tener información de manera exclusiva que no se desea que tenga una difusión a terceros. 
  • Integridad: es el aseguramiento de que el sistema guarda o contiene con exactitud o completitud la información. 
  • Disponibilidad: asegura que esta información será accesible y utilizable por los usuarios que desean utilizarla.

Para conseguir este sistema de seguridad es necesario establecer unas pautas o tareas denominadas «Gestión del Ciclo de Vida de la Información», pautas que corresponden a los diferentes ciclos de vida por los cuales la información pasa:
  • Clasificación de datos: no toda la información que llega a la empresa hay que tratarla de la misma manera. Cuando llega información al sistema o a la compañía es necesario clasifi-carla. Para ello se establecerá qué datos dispone, volumen, ubicación, jerarquía, qué datos pueden ser eliminados o cómo recuperarlos. En el caso de la LOPD, para datos de carácter personal se disponen tres niveles: básico, medio o alto.
  • Almacenamiento físico. Corresponde con el almacenamiento inicial de la información. Para almacenar una determinada información es preciso establecer unos requisitos previos que establezcan las ventajas y desventajas —volumen, disponibilidad, etc.— de las diferentes opciones de almacenamiento de que se dispone. 
"Una de las medidas principales que garantizan la integridad de los datos durante su ciclo de vida es la realización de copias de seguridad"
  • Migración. A lo largo de la vida de la información puede que sea preciso modificar el entorno para cambiar el sistema o añadir más almacenes de datos para equilibrar la sobrecarga de este.
  • Disposición. Existen dos elementos que serán necesarios para asegurar la disponibilidad de la información. Por una parte, en el aseguramiento de la integridad se aplican privilegios a los usuarios, obligando a estos a restringir su acceso mediante contraseñas y permisos o restricciones en el sistema y en la actuación de los datos. Por otra parte, también se deben realizar unas copias de seguridad para el riesgo de fallos en el sistema o pérdida de la información.
  • Utilización de la información almacenada. Una vez almacenada la información esta puede ser utilizada para la toma de decisiones en las empresas. En el caso de no ser necesaria, esta información puede ser destruida.

Almacenamiento de información.

Existen diferentes alternativas para el almacenamiento de datos:
  • Almacenamiento local. Es la información que generan los propios usuarios en su ordenador. Es importante establecer unas políticas de seguridad acerca de qué tipo de información se puede almacenar en estos ordenadores, así como cuánto tiempo puede permanecer esta información en ellos.
  • Servidores en red. Es el almacén para el trabajo común cuyo objetivo es el de compartir in-formación entre diferentes usuarios de la empresa. Al ser un modo compartido, es importante establecer un control de acceso y acciones a esta información almacenada.
  • Dispositivos externos. También se puede disponer de modos de almacenamiento externo, como USB, DVD o cintas magnéticas. Por el tamaño de estos dispositivos, este puede ser un punto peligroso con riesgo de fugas de información. Para ello, se deben establecer ciertas políticas, como la prohibición de su uso, qué tipo de información se puede almacenar o medidas de borrado cuando la información no sea necesaria.
  • Copias de seguridad. Consiste en la realización de copias de respaldo de la información generada por la empresa. En esta copia de seguridad se deben establecer qué datos requieren ser preservados, la frecuencia con que se realiza la copia, dónde se almacena, el control del soporte de las copias, planificar la restauración de las copias para asegurarse de que con la información almacenada es posible reestablecer el sistema, definir la vigencia de las copias y controlar la obsolescencia de los dispositivos de almacenamiento.

Borrado de la información.

Al final del ciclo de vida de la información, esta se debe destruir cuando ya no es preciso su uso. Para ciertos casos, en el que el nivel de confidencialidad es bajo, puede bastar con formatear el dispositivo, borrar los ficheros (incluida la «papelera de reciclaje») o tirar el CD.
"Al final del ciclo de vida de la información, esta se debe destruir cuando ya no es preciso su uso"
En otros casos, existen técnicas más sofisticadas para la eliminación de esta información:
  • Desmagnetización: para el caso de soportes de almacena-miento magnético es posible la exposición del dispositivo a un potente campo magnético que elimina los datos almacenados. Esta forma tiene muchos inconvenientes, por no decir que solo se puede utilizar en soportes magnéticos (no ópticos) .
  • Destrucción física: consiste en desintegrar, pulverizar o incinerar el dispositivo. Se trata de una alternativa que resulta bastante costosa. 
  • Sobreescritura: consiste en escribir otra información irrelevante eliminando la información que existía anteriormente. Esta es una alternativa fácil y barata. Sin embargo, solo se puede aplicar en dispositivos que permitan la sobreescritura.

Debe tenerse especial cuidado en que el borrado general y el formateo del disco duro no eliminan los datos, sino que eliminan la entrada del fichero o en la lista de archivos, pudiendo obtenerse los datos con ciertas técnicas sofisticadas. Del mismo modo, deben existir políticas de borrado seguro de la información dentro de la empresa.

En conclusión, la protección de la información es un factor crítico y determinante para la empresa. En el caso de, por ejemplo, una clínica, si sus registros fueran robados, los daños afectarían no solo a la clínica, sino también a los afectados El Rincón del Sueko - #rincondelsuekocuyos datos más sensibles pudieran caer en manos de terceros.

Asimismo, no solo se corre el riesgo de perder la información de la empresa; también se corre el riesgo de robos de información crítica para el negocio realizados por trabajado-res, que la pueden entregar a la competencia. Todo puede estar expuesto: código fuente, presupuestos, emails, documentos corporativos, y un largo etcétera que aglutina información que, en manos de la competencia, puede ser crucial para el negocio. Por lo tanto, el control de los empleados también es fundamental, no solo mediante la implantación de medidas técnicas en los sistemas o activos de información, sino también mediante la suscripción con los mismos de documentos de confidencialidad o la comunicación cuando son contratados de las políticas corporativas de seguridad y de las repercusiones de su incumplimiento.




Espero que este post haya sido de vuestro interés. Me encantaría, más que nunca, ver vuestras valoraciones y leer vuestros comentarios a través de las herramientas que este blog pone a vuestra disposición.
    Muchísimas gracias a tod@s. ¡Salu2! 👍

    #rincondelsueko en Twitter, Facebook, Flipboard y Google+

    Publicado por a las
    Etiquetas: ,
    Ubicación: Barcelona, Barcelona, España

    No hay comentarios:

    Publicar un comentario

    Suscribirse a: Enviar comentarios (Atom)