Skip to Content

Seguridad de la información | Protegiendo el activo más valioso de la compañía

Seguridad de la información | Protegiendo el activo más valioso de la compañía

En un mundo hiperconectado, las empresas deben tener en cuenta la importancia de aplicar medidas óptimas de seguridad de la información, para evitar riesgos y salvaguardarse ante posibles ataques ciberneticos y/o pérdidas de datos.

Como avanzábamos en publicaciones anteriores sobre ciberseguridad, las empresas cada vez son más vulnerables frente a ataques y hackeos que menoscaban uno de los activos más importantes de las compañías: sus datos. La seguridad de la información se convierte en un elemento indispensable para protegerse.

Hablamos de seguridad de la información entendida como la capacidad de las redes o de los sistemas de información para resistir, con un determinado nivel de confianza, los incidentes de seguridad, ya respondan a acciones ilícitas o malintencionadas como a vulnerabilidades o fallos de los sistemas informáticos en que se tratan. La seguridad de la información es el establecimiento de un entorno seguro de datos, de forma que se garanticen la disponibilidad, autenticidad, integridad y confidencialidad de los datos almacenados o transmitidos y de los servicios que dichas redes y sistemas ofrecen o hacen accesibles.

Pilares de la Seguridad de la Información

  • securityIntegridad: Capacidad para garantizar la fiabilidad de la información y el mantenimiento de sus características, evitando modificaciones no autorizadas y/o no aprobadas por los responsables de los datos. Es fácil vulnerar la integridad cuando la información se elimina o parte de ella se modifica.
  • Autenticidad: La autenticidad de los datos es imprescindible para su aceptación, y las dudas al respecto pueden provocar desviaciones en la planificación operativa de las Organizaciones y desconfianza en las mismas.
  • Disponibilidad: La disponibilidad es la capacidad de los sistemas de información que permite el acceso a la información del negocio en el momento necesario y a los usuarios autorizados de una organización. Esta característica podría chocar con la confidencialidad, ya que con el objetivo de salvaguardar la información, muchas veces se opta por sistemas complejos de encriptación, conviertiendo la información en algo poco accesible.
  • Confidencialidad: La confidencialidad sigue la premisa de no divulgar información a aquellas personas no autorizadas. Su incumplimiento puede suponer el incumplimiento de leyes y contratos.
  • Trazabilidad: Esencial para analizar incidentes, perseguir atacantes y aprender de la experiencia. Se materializa en la integridad de los registros de actividad, determinando siempre quién hizo qué, y en qué momento.

Niveles de aplicación de Seguridad de la Información:

La seguridad de la información se aplica en cinco niveles principales de una empresa, y todas las organizaciones deberán tenerlas en cuenta, con el fin de conseguir un blindaje completo:

  • 3d folder document blue data key securitySeguridad en las redes: Consiste en el transporte seguro de la información a través de infraestructuras de comunicaciones. Posibles medidas de seguridad son: cortafuegos, redes virtuales, detección de intrusiones, seguridad wifi y dispositivos móviles, control de tráfico de red.
  • Gestión de acceso e identidad: Hablamos de gestión de los perfiles de usuario y protección de los mecanismos responsables de establecer permisos y vigilar accesos a los sistemas, así como de aplicaciones locales o remotas.
  • Seguridad en los sistemas: Asesoría específica para usuarios técnicos y administradores de sistemas sobre la aplicación de medidas de protección de forma centralizada, preventiva y reactiva.
  • Seguridad de aplicaciones y datos: Seguridad aplicada tanto a los sistemas de almacenamiento locales como a los sistemas remotos, con soluciones como el cifrado de la información, el establecimiento de políticas de seguridad o las copias de seguridad.
  • Protección en el puesto de trabajo: Protección al usuario y su equipo contra posibles incidentes de seguridad, incluyendo entorno local, hardware y software, controlando actualizaciones y advirtiendo de posibles amenazas.

De manera transversal, estos cinco niveles de actuación se encuentran conectados a través de cuatro ámbitos fundamentales que intervienen en la producción y uso de la información y que tipifican de forma especifica los riesgos de seguridad:

  • Personas: Las personas son aquellos agentes que trabajan con los datos. Es necesario aplicar una serie de medidas de seguridad organizativas que permitan salvaguardar tanto su integridad como la de la información a la que tienen acceso: permisos y obligaciones dependiendo de la jerarquía de la empresa, identificación y prevención ante ataques de ingeniería social, cumplimiento de la legislación y formación sobre medidas de seguridad.
  • Información: Encontramos posibles vulnerabilidades dependiendo del tipo de manipulación de la información que se lleve a cabo en cada momento. Blindaje en los intercambios de información confidencial, protección frente a pérdidas de información, realización de copias de seguridad y posterior recuperación así como evitar la difusión no permitida de la información y aplicar las medidas de protección son algunas de las medidas a aplicar.
  • Negocio: Entender la importancia de realizar cambios organizativos necesarios para la adecuación de las políticas de seguridad a las normativas y requisitos legales, es fundamental. En base a buenas prácticas, se mejoran procesos productivos y se ahorran costes y tiempos de no disponibilidad.
  • Infraestructura: Selección, implementación y operación de las soluciones de seguridad apropiadas para cada organización. Detección de posibles errores de seguridad de la infraestructura, y provisión de recursos para la gestión incidental.

Imagen1La seguridad de la información no solo ayuda a una mejora en la gestión empresarial, sino que permite obtener credibilidad, a través de la aplicación de políticas de control de seguridad establecidas en la norma ISO / IEC 27.000. Los diferentes desarrollos y evoluciones de esta serie de normas conforman la base de operación de un Sistema de Gestión de la Seguridad de la Información (SGSI). Seguir el SGSI aporta una reducción del riesgo de pérdidas de información, estableciendo una metodología y obligando a las compañías a que realicen auditorías externas de manera periódica para identificar las incidencias que pudiera haber en el Sistema, fomentando de este modo la mejora continua en la organización.

Servicios de Auditoria Técnica de Seguridad Tecnológica

Los servicios de auditoria Técnica de Seguridad Tecnológica tienen por objetivo la auditoria de sistemas, aplicaciones y datos. La constante evolución de las metodologías y auditorias permite la revisión de la calidad de cualquier tecnología existente en el mercado y de cualquier infraestructura sensible a las deficiencias de seguridad y vulnerabilidad. Este tipo de servicio realiza:

  • Análisis de logs y puertos: Análisis de los registros de sistema y aplicaciones para determinar el comportamiento de éstos, así como de los usuarios que los han usado.
  • Pentesting y Hacking ético: Identificación las vulnerabilidades de sistemas y aplicaciones, recomendando las mejores soluciones para las carencias detectadas.
  • Auditoria de Redes: Auditorias completas de las infraestructuras de comunicaciones para detectar, evaluar y resolver cualquier vulnerabilidad de seguridad.
  • Auditoria de sistemas y archivos: Permite registrar y analizar las interacciones entre los usuarios y aplicaciones con los sistemas y los archivos de las organizaciones.
  • Auditoria de Passwords: Establecimiento de políticas de seguridad de cualquier organización y detección de contraseñas débiles o que no cumplen estas políticas.

Ninguna medida es suficiente cuando se trata de proteger los datos de las empresas. Contar con una buena planificación de la seguridad de la información se convierte, por tanto, en un elemento diferenciador para todas aquellas empresas que aspiran a seguir creciendo y mejorar sus resultados año tras año.

Nuevo Reglamento General de Protección de datos: el blindaje del usuario

El Nuevo Reglamento General de Protección de Datos entra en vigor el 25 de mayo de este 2018 en Europa. El RGPD (o GDPR por sus siglas en inglés: General Data Protection Regulation) pretende conseguir un mayor blindaje de los usuarios, que deberán manifestar su consentimiento expreso e inequívoco para que las empresas puedan usar sus datos.

Esta nueva normativa afecta a todas las empresas que trabajen con los datos de los ciudadanos europeos, aunque estén localizadas fuera del territorio europeo. El objetivo de este reglamento es informar a los usuarios desde el minuto cero a cerca de qué datos se utilizan, cómo y con qué finalidad.

Se trata de la primera norma que unifica los derechos y las obligaciones en materia de protección de datos en todos los países de la Unión Europea. GDPR asegura más derechos y protección a los usuarios sobre sus datos, ya que con este reglamento se iniciarán nuevas herramientas para controlar los datos, se recogerán nuevos derechos y por lo tanto nuevas obligaciones por parte de las empresas.

¿Qué datos son susceptibles a este reglamento?

RGPD abarca cualquier información relacionada con una persona física, pasando por su nombre completo, foto, dirección de correo electrónico, cuenta corriente, publicaciones en sitios web y en redes sociales, información de carácter médico o direcciones IP.

¿Cuándo podrán las empresas utilizar dichos datos?

student-849825_640Para que las empresas puedan utilizar los datos de los usuarios, éstos deberán dar su consentimiento expreso. Es decir, hasta ahora las empresas habían utilizado técnicas poco transparentes para conseguir el permiso de los usuarios: casillas premarcadas, condiciones legales con términos ilegibles o poco claros…

Con la entrada en vigor de RGPD, el usuario deberá expresar su consentimiento inequívoco. De este modo, las empresas están obligadas a separar los términos de uso que se aceptan al darse de alta en una web o producto, del apartado de tratamiento de datos. Además, las casillas premarcadas referentes al envío de publicidad dejarán de estar en uso.

Las empresas, estarán obligadas también, a informar a los usuarios sobre la finalidad del tratamiento de sus datos. Así, las empresas que ya utilicen datos de usuarios deberán volver a pedir el consentimiento de éstos a partir de la entrada en vigor de la nueva normativa.

Con el objetivo de acabar con la falta de transparencia, a partir del 25 de mayo las empresas tendrán 72 horas para informar, tanto a las autoridades competentes, como a todos los usuarios que haya podido ser afectados, en caso de sufrir un incidente de seguridad en el que los datos se hayan comprometido.

¿Qué derechos tendrán los usuarios sobre sus datos?

RGPD (1)Los usuarios podrán solicitar y conseguir que sus datos sean eliminados, cuando se exprese por su parte, o cuando se hayan recogido de forma ilícita. Esto se recoge en el “derecho al olvido”, aunque algunas veces puede existir confrontación con otros derechos, como el derecho a la libertad de información.

El derecho a la portabilidad también se contempla en el nuevo reglamento. Así, si los datos del usuario están siendo tratados de manera automatizada, podrán recuperarse por parte del usuario para cederlos a otro responsable.

Ejemplos de aplicación: En cuanto a redes sociales y los datos que éstas recopilan, en el caso de Facebook, la red social solo estaría obligada a proporcionar al usuario los datos que éste ha facilitado, en ningún caso la información que el usuario haya dejado por sus acciones en la red social (su huella digital).

Además, RGPD otorga derecho al usuario de reclamar información a las empresas sobre qué datos se están procesando, dónde y con qué finalidad, pudiendo pedir también una copia de los mismos de manera gratuita.

¿Cuáles son las sanciones por el incumplimiento de la ley?

Las empresas que no cuenten con el consentimiento expreso de los usuarios para utilizar sus datos, o que violen alguno de los derechos recogidos en la nueva ley, se enfrentan a multas de hasta un 4% de su facturación global anual, multa máxima por infracciones muy graves.

Con el fin de cumplir la nueva normativa, las empresas deberán adaptarse al nuevo reglamento actualizando sus políticas y textos referentes a la protección de datos así como realizando evaluaciones de riesgo e impacto, plantillas de documentación para adaptarlas al cliente y asesoramiento por parte de profesionales.

RGPD supone un desafío para todas las empresas, pues deberán realizar cambios en la gestión de sus datos. Por otro lado, la nueva normativa pretende bascular hacia una sociedad en la que los usuarios estén más protegidos y las empresas sean conscientes de la importancia de administrar dichos datos de manera transparente y eficaz.

El Nuevo Reglamento General de Protección de Datos entra en vigor el 25 de mayo de este 2018 en Europa. El RGPD (o GDPR por sus siglas en inglés: General Data Protection Regulation) pretende conseguir un mayor blindaje de los usuarios, que deberán manifestar su consentimiento expreso e inequívoco para que las empresas puedan usar sus datos.

Esta nueva normativa afecta a todas las empresas que trabajen con los datos de los ciudadanos europeos, aunque estén localizadas fuera del territorio europeo. El objetivo de este reglamento es informar a los usuarios desde el minuto cero a cerca de qué datos se utilizan, cómo y con qué finalidad.

Se trata de la primera norma que unifica los derechos y las obligaciones en materia de protección de datos en todos los países de la Unión Europea. GDPR asegura más derechos y protección a los usuarios sobre sus datos, ya que con este reglamento se iniciarán nuevas herramientas para controlar los datos, se recogerán nuevos derechos y por lo tanto nuevas obligaciones por parte de las empresas.

¿Qué datos son susceptibles a este reglamento?

RGPD abarca cualquier información relacionada con una persona física, pasando por su nombre completo, foto, dirección de correo electrónico, cuenta corriente, publicaciones en sitios web y en redes sociales, información de carácter médico o direcciones IP.

¿Cuándo podrán las empresas utilizar dichos datos?

student-849825_640Para que las empresas puedan utilizar los datos de los usuarios, éstos deberán dar su consentimiento expreso. Es decir, hasta ahora las empresas habían utilizado técnicas poco transparentes para conseguir el permiso de los usuarios: casillas premarcadas, condiciones legales con términos ilegibles o poco claros…

Con la entrada en vigor de RGPD, el usuario deberá expresar su consentimiento inequívoco. De este modo, las empresas están obligadas a separar los términos de uso que se aceptan al darse de alta en una web o producto, del apartado de tratamiento de datos. Además, las casillas premarcadas referentes al envío de publicidad dejarán de estar en uso.

Las empresas, estarán obligadas también, a informar a los usuarios sobre la finalidad del tratamiento de sus datos. Así, las empresas que ya utilicen datos de usuarios deberán volver a pedir el consentimiento de éstos a partir de la entrada en vigor de la nueva normativa.

Con el objetivo de acabar con la falta de transparencia, a partir del 25 de mayo las empresas tendrán 72 horas para informar, tanto a las autoridades competentes, como a todos los usuarios que haya podido ser afectados, en caso de sufrir un incidente de seguridad en el que los datos se hayan comprometido.

¿Qué derechos tendrán los usuarios sobre sus datos?

RGPD (1)Los usuarios podrán solicitar y conseguir que sus datos sean eliminados, cuando se exprese por su parte, o cuando se hayan recogido de forma ilícita. Esto se recoge en el “derecho al olvido”, aunque algunas veces puede existir confrontación con otros derechos, como el derecho a la libertad de información.

El derecho a la portabilidad también se contempla en el nuevo reglamento. Así, si los datos del usuario están siendo tratados de manera automatizada, podrán recuperarse por parte del usuario para cederlos a otro responsable.

Ejemplos de aplicación: En cuanto a redes sociales y los datos que éstas recopilan, en el caso de Facebook, la red social solo estaría obligada a proporcionar al usuario los datos que éste ha facilitado, en ningún caso la información que el usuario haya dejado por sus acciones en la red social (su huella digital).

Además, RGPD otorga derecho al usuario de reclamar información a las empresas sobre qué datos se están procesando, dónde y con qué finalidad, pudiendo pedir también una copia de los mismos de manera gratuita.

¿Cuáles son las sanciones por el incumplimiento de la ley?

Las empresas que no cuenten con el consentimiento expreso de los usuarios para utilizar sus datos, o que violen alguno de los derechos recogidos en la nueva ley, se enfrentan a multas de hasta un 4% de su facturación global anual, multa máxima por infracciones muy graves.

Con el fin de cumplir la nueva normativa, las empresas deberán adaptarse al nuevo reglamento actualizando sus políticas y textos referentes a la protección de datos así como realizando evaluaciones de riesgo e impacto, plantillas de documentación para adaptarlas al cliente y asesoramiento por parte de profesionales.

RGPD supone un desafío para todas las empresas, pues deberán realizar cambios en la gestión de sus datos. Por otro lado, la nueva normativa pretende bascular hacia una sociedad en la que los usuarios estén más protegidos y las empresas sean conscientes de la importancia de administrar dichos datos de manera transparente y eficaz.

Política de Privacidad

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su aceptación a nuestra política de privacidad. ACEPTAR

Aviso de cookies