Cada vez es más habitual tener información confidencial almacenada en dispositivos móviles tales como ordenadores portátiles, PDAs, Tablets, y no tenemos en cuenta la facilidad con la que se pueden "perder" estos dispositivos.
En estos dispositivos deberíamos adoptar una serie de medidas para proteger esta información, ya que Ley de Protección de Datos obliga a salvaguardar la información almacenada en los dispositivos móviles de la misma forma que si estuviesen almacenados en los servidores de su empresa.
En estos dispositivos deberíamos adoptar una serie de medidas para proteger esta información, ya que Ley de Protección de Datos obliga a salvaguardar la información almacenada en los dispositivos móviles de la misma forma que si estuviesen almacenados en los servidores de su empresa.
1. Cifrado completo de disco duro
La mayor parte de las pérdidas de datos se deben a la pérdida accidental de un dispositivo en un taxi, en el tranvía o durante la clásica noche de viernes en un bar. En este caso demostrar que no existía información confidencial en ese dispositivo es una ardua labor. Si el dispositivo disponía de un cifrado completo, no se necesitan más explicaciones, ya que el inspector sabe que el cifrado protege al dispositivo. Si por el contrario no se dispone de este tipo de cifrado, el inspector lo verá como una clara señal de que encontrará más problemas.
Asegúrate que dispones de informes que atestigüen que los dispositivos han sido cifrados y realiza comprobaciones de que mantienen esa medida de seguridad. Si tu empresa no ha implementado políticas de este tipo, debería ser una prioridad máxima.
2. Cifrado de unidades extraíbles
Una vez que los discos duros están seguros, tendrás que lidiar con las molestas llaves USB y los sistemas de almacenamiento extraíble. Éste es el punto débil de muchas empresas: invierten en tecnología pero los usuarios buscan una manera de franquearla ya que no les facilita el compartir información. Antes que definir unas reglas estrictas e inflexibles (que está demostrado que son menos seguras), prepárate para la auditoría con informes que demuestren que cifráis este tipo de dispositivos.
3. Un sistema de normas efectivo
Una parte de las medidas organizativas y técnicas requeridas consiste en documentar cómo loa datos van a estar protegidos Ya hemos explicado que no hay ninguna garantía al 100% contra la pérdida de información, pero si no has documentado correctamente los procedimientos que empleas en caso de incidente, lo más seguro es que el auditor te machaque a preguntas. Tu sistema de normas será lo primero que revise el auditor, incluso antes de que inspeccione los informes que presentes de controles técnicos y procesos. Debo prevenirte que tener un sistema complejo y tedioso no te va ayudar.
Planifícate y mantén tus políticas en orden.
4. Políticas sobre uso aceptable
Educar a los usuarios no sólo es una parte importante de un sistema de normas efectivo, sino que además es una manera barata de prevenir incidentes. En particular, asegúrate que las normas sobre usos aceptables que atañen a las últimas tecnologías están actualizadas. Por ejemplo ¿está previsto el uso de smartphones desde casa y compartiendo datos con terceros?
5. Antivirus moderno
Gran parte del malware más moderno está diseñado para robar información (por supuesto el tipo de información que te creará un problema). Asegúrate de que estás usando tecnología moderna, no la tradicional. Busca que emplee tecnología HIPS y tecnologías basadas en la nube. Comprar sistemas y no usarlos porque son muy complicados o caros de gestionar no es una buena idea.
6. Prevención de pérdida de datos
Las políticas de prevención de pérdida de datos han estado en boga durante los últimos años. No se trata que pases semanas identificando los tipos de datos que maneja tu empresa, ni que diseñes complejas soluciones en las que identifiques los usuarios que pueden acceder a cada documento. Identifica los datos más confidenciales y obliga a cifrar esa información cada vez que sea compartida ya sea al mandar un correo a un cliente, subiéndola a la nube o copiándola a una llave USB. Ofrece alternativas cuando bloquees aplicaciones. Por lo menos implementarás soluciones y te llevará 2 días no 200, además te servirá para que convencer a los auditores de que te tomas la seguridad de tus datos de forma responsable.
7. Política de contraseñas seguras
Una contraseña débil puede llevar al traste toda tu estrategia de defensa. Crea una norma que introduzca la complejidad suficiente para que sean robustas. Tampoco te pases en esa complejidad, si no, acabarán por escribirla en post-its con lo que no habremos ganado nada.
8. Política de gestión de incidentes
Los incidentes relacionados con seguridad ocurren. Muchas veces al no existir una correcta gestión se magnifican y surgen filtraciones a clientes o a la prensa cuando en realidad su incidencia fue mínima. Si no quieres que la situación se vuelva un caos tienes que implementar una política de gestión de incidentes . En ella involucraremos otros departamentos como legal, marketing o atención al cliente. La idea es que en cuanto ocurra algo todos en la empresa sepan lo que tienen que hacer. Con una gestión eficiente conoceremos con mayor prontitud el alcance del incidente, lo comunicaremos correctamente y minimizaremos su alcance.
9. Protección móvil
Los dispositivos móviles son cada vez más numerosos. Por si fuera poco cada vez almacenan una mayor cantidad datos confidenciales. Todo esto hace que tanto los auditores como los cibercriminales los tengan en su punto de mira. Cada vez surgen soluciones más complejas para cubrir su seguridad. Asegúrate que tienes una idea clara de las necesidades de tu empresa, cíñete a lo básico: contraseñas, bloqueo, cifrado, parcheado de vulnerabilidades y borrado remoto. Una vez que tengas estos puntos bajo control, mantente alerta sobre nuevas amenazas y comprueba que se están cumpliendo tus políticas.
10. Vigilancia fuera de la oficina
Existen muchos elementos de seguridad que pueden que no funcionen eficazmente fuera de los límites de la oficina. Comprueba que elementos como “navegación segura” funcionan cuando los dispositivos se conectan a otros servidores. Control de parches, filtrado web y procedimientos de aviso deben estar activos dentro y fuera de la oficina.
Consulta también el artículo sobre copias de seguridad