En esta nueva entrega de la serie sobre Ciberseguridad de la Cátedra de CE Consulting Empresarial con la Universidad Politécnica de Madrid, Javier Bermejo – Doctor Ingeniero por la Escuela Politécnica superior del Ejército – nos habla sobre la seguridad de los soportes de la información, los principales riesgos asociados a ellos y las medidas y salvaguardas de mitigación de estos riesgos.
¿Qué son los soportes de información?
Son todos aquellos dispositivos y equiposque nos permiten almacenar información en formato electrónicoy que, en general, son fáciles de transportaro llevar de forma persona.
¿Cuáles son los principales riesgos asociados a ellos?
Los soportes de información, especialmente los de pequeño tamaño como memorias USB, tarjetas y dispositivos móviles, pueden ser objeto de pérdida, robo, rotura, destrucción o avería, además de infección por malware.
Por otro lado, existen soportes que se basan en propiedades magnéticas para guardar la información – como los discos duros – con los que hay que tener especial cuidado. Este tipo de soportes, aunque hayan sido borrados a nivel de sistema operativo, todavía contienen información porque la superficie del disco continúa manteniendo los valores grabados. Es decir, aunque para el sistema operativo los ficheros ya no existan, es posible extraer información de ellos.
Todos estos riesgos amenazan la confidencialidad, integridad y disponibilidad de la informaciónque almacenan este tipo de soportes, cuya importancia y valor para la empresa puede llegar a ser muy alto. Por tanto, la mejor forma de proteger la información que contienen es proteger los propios soportes.
¿Qué debe tenerse en cuenta?
Política de uso de dispositivos de almacenamiento externo
Cada organización debe disponer de una política de uso de dispositivos como discos duros externos, cintas, discos de copias de seguridad, unidades USB, tarjetas de memoria…. Esta política debe ser conocida por todosy en ella se debe especificar si su uso está permitidoo no, bajo qué condicionesestá permitido en su caso y qué tipo de informaciónpuede almacenarse en ella.
Seguridad de dispositivos móviles
Actualmente se está incrementando el uso de dispositivos móviles personales en entornos profesionales corporativos (ordenadores portátiles, Smartphones, tablets, etc.). A través de ellos se accede a recursos de la empresa como correos electrónicos, bases de datos y archivos en servidores así como a datos y aplicaciones personales, por lo que su seguridad se ha convertido en un punto importante de toda organización.
Almacenamiento en la nube
Un nuevo modelo de almacenamiento ubicuo cada vez más demandado y que permite acceder a un conjunto compartido de recursos en red. Su protección es fácilmente gestionable trabajándola conjuntamente al proveedor del servicio.
Cifrado de soportes de información
Esta constituye la principal medidaa aplicar para evitar el robo de la información, discriminar el acceso e intentar limitar el impacto ante su pérdida.
Borrado seguro y destrucción de los soportes
Ya hemos comentado que muchos de los soportes de almacenamiento externo pueden permitir a una persona con los conocimientos adecuados recuperar parte de la información que contienen. Incluso si se ha realizado un borrado a nivel de sistema operativo.
Por ello, tanto si va a reutilizarse uno de estos soportes, como si ha llegado al fin de su ciclo de vida, es imprescindible aplicar medidas de borrado seguro. Además, la eliminación de estos dispositivos debe hacerse respetando la Ley Ambientalvigente, así como el Reglamento de Protección de Datos de Carácter Personal.
Su deshecho, sin tomar medidas de destrucción físicas, constituye un riesgo de seguridad, pues pueden permitir a una persona con los conocimientos adecuados recuperar parte de la información que contiene.
Conclusión
Siempre se debe tener cuidado con el tratamiento que hacemos de la información tanto personal como de la organización para la que trabajamos. Esta atención debe incrementarse siempre que se trate información confidencial y seguir las recomendaciones establecidas en la normativa disponible de la organización a la que se pertenece.
Véase también “Apertura CE Consulting Castellón-Vall de Uixó y CE Consulting Valencia-Calle Colón“.