Índice:
- El alcance de protección de la seguridad TIC
- Principales amenazas para la seguridad TIC
- Diferentes tipos de seguridad TIC
- ¿Cómo evitar riesgos en un gestor documental?
¿Qué protege la seguridad TIC?
La seguridad TIC, o Information Technology Security (IT security) en inglés, se encarga de implementar las medidas de seguridad para proteger la información usando diferentes tipos de tecnología. La seguridad TIC protege los datos empresariales, que comprenden tanto los de formato electrónicos como en papel.
Es habitual escuchar el término ciberseguridad como sinónimo de seguridad TIC. Sin embargo, la ciberseguridad es solo uno de los subtipos de la seguridad TIC. La ciberseguridad se encarga de proteger los datos de la empresa de aquellos ataques procedentes de internet. No obstante, los datos de la empresa se enfrentan a problemas de seguridad también fuera del internet. Estos problemas pueden darse debido a múltiples factores que se verán a continuación.
En el siguiente vídeo, Ismael Yuste García, Técnico de innovación, mejora y modernización del Ayuntamiento de Canet d’en Berenguer nos cuenta cuáles son las aspectos más cruciales que una organización debe tener en cuenta con respecto a la seguridad TIC:
¿Cuáles son las amenazas para la seguridad TIC?
Para asegurar una mayor protección de los datos empresariales, las empresas se centran fundamentalmente en los siguientes tres elementos básicos:
Las repercusiones de las amenazas físicas en la seguridad TIC
Las amenazas físicas se pueden dar por varios motivos, como las radiaciones electromagnéticas de un teclado inalámbrico o el acceso libre a un recurso, por ejemplo las de una red wifi libre. En las redes de conexiones inalámbricas libres (las redes wifi) se encuentren sniffers. Estos son sistemas que “esnifan” los datos de usuarios. Los sniffers pueden actuar para hacer auditorías de las redes, comprobar el tráfico de la empresa y monitorizar el comportamiento del mismo. Sin embargo, son conocidos porque si lo pone un hacker puede hacerse con usuarios y contraseñas, lo que hace que no sea muy fiable.
Las redes wifi de las universidades tienen sniffers para evitar que entre gente indeseada que intente acabar con el sistema. Por ello, piden el usuario y contraseña al alumno, profesor o colaborador para conectarse a la red wi-fi. Otra amenaza física son los accidentes naturales en el entorno donde se encuentra el hardware , como cuando ocurre un incendio o hay un apagón, la humedad está muy alta o muy baja, etc.
¿Qué daños pueden provocar las amenazas lógicas?
Las amenazas lógicas son programas que se dedican a dañar el sistema. Estas amenazas aprovechan los fallos y puntos débiles de un sistema para atacarlo y acceder a él. Estos pueden ser:
- Sin intención: esto ocurre cuando un programador comete un fallo. Por ejemplo, bugs o exploits.
- Intencionadamente: hay muchos tipos de programas que buscan hacer daño. Están los softwares maliciosos (malware), los virus, las puertas traseras o backdoors, spyware, jokes, dialers,…
El usuario es el eslabón más débil para la seguridad TIC
Los empleados de la empresa son los agentes que más trabajan con los datos, creándolos, editándolos y gestionándolos. Los usuarios de la empresa son considerados el “eslabón más débil” ya que la mayoría de los fallos de seguridad provienen de ellos. Por tanto, es de vital importancia que conozcan cómo proceder para evitar cualquier tratamiento indebido de los datos. Estos usuarios pueden estar actuando de forma activa o pasiva:
- Activa: el usuario busca hacer daño al sistema o sustraer información de forma consciente. Por ejemplo, los crackers o black hat hackers, más conocidos como hackers; antiguos empleados o piratas informáticos que intentan conseguir la información de la empresa o provocar daños.
- Pasiva: el usuario ha perjudicado el sistema sin querer, bien por desconocimiento, o por querer acceder a una información a la cual no tiene acceso. Para evitar que se dé el segundo caso, los sistemas de gestión documental estructuran los niveles de acceso .
Importante: una medida en la que coinciden todos los responsables de seguridad TIC es en la importancia de formar a los usuarios. Una empresa puede tener todas las medidas TIC en orden que, si un usuario procede de manera indebida, podría suponer un peligro muy grave para los datos de la organización.
Los cursos de formación a los empleados se les debería dar en el onboarding , es decir, cuando entran a trabajar en la empresa. Solo el curso del onboarding no es suficiente, es necesario recordar las normas con charlas a los empleados cada cierto tiempo y, si hay un cambio de legislación para que se respeten las leyes. Si no se hiciera así, los usuarios podrían olvidarse o desconocer cómo realizar su trabajo de forma segura. Ciertas malas praxis que suelen cometer los usuarios son:
- Poner sus contraseñas a la vista en post-its y no cambiarla cada cierto tiempo. Dependiendo del nivel de seguridad que necesite la empresa puede ser que se necesite cambiar la contraseña cada 15 días o cada 6 meses;
- Acceder con un sistema que recuerde las contraseñas , por lo que ya no se tengan que escribir para entrar. Si cualquiera accediera al ordenador, tendría acceso a todos los archivos de la empresa a los que pueda acceder el usuario al que está suplantando;
- Abrir el e-mail no siguiendo el protocolo de seguridad de la empresa, creando así duplicados y una posible fuga de información;
- Usar un USB propio en el ordenador de la empresa, ya que cabe la posibilidad de que esté infectado y se pase el virus al hardware de la empresa;
- Llevarse archivos del trabajo a casa, provocando fugas y duplicaciones;
- Permitir que otros vean la pantalla del ordenador. Por ejemplo, un empleado de un banco le enseña la pantalla a un cliente con sus datos. Este cliente puede ser un buen hacker que, con solo ver la pantalla, ya puede hacerse una idea de cómo colarse en el sistema.
La gestión de la seguridad TIC se encarga de que se realicen todos los procedimientos y normativas establecidas para prevenir ante ataques y fortalecer la seguridad TIC de la empresa. Una de las principales medidas es la concienciación de los empleados respecto a la seguridad TIC de la empresa. Por ejemplo, al implementar un nuevo sistema de gestión documental. Las empresas pueden pedir a los proveedores que, dentro del curso de capacitación de los empleados , hagan especial hincapié en el tema del protocolo de seguridad TIC a seguir.
Además de las políticas de seguridad TIC propias de la empresa, los empleados también tiene que acatar las normas regionales, nacionales o, incluso, en estándares internacionales para garantizar la seguridad de sus datos. Algunas de estas reglas pueden ser obligatorias, como en el caso del reglamento general de protección de datos (General Data Protection Regulation, GDPR). La GDPR clasifica las empresas y sus datos según su nivel de tratamiento de datos: básico, medio o alto. Si los usuarios de una empresa están concienciados y saben cómo tratar los datos personales con los que trabajan, evitará que la empresa sufra peligros de fuga de información y multas indeseadas.
Otras, sin embargo, como las normas ISO , no son de carácter obligatorio, aunque sean indispensables a la hora de poder efectuar ciertas actividades. Son estándares internacionales que implantan las empresas para garantizar y demostrar su profesionalidad. Por ejemplo, cuando una empresa busca conseguir un certificado de ISO 27001, la cual se encarga de asegurar que se usan las mejores prácticas de seguridad informática y de información. Entre las medidas de seguridad que señala la ISO 27001 está la de realizar copias de seguridad regularmente, comprobar que sean correctas y que sean restaurables en caso de que sea necesario.
Esta medida no es algo exclusivo de esta norma, sino que también se recomienda hacer a todas las empresas, sin importar que no tengan dicha norma. De hecho, se recomienda que se haga una copia de seguridad de la empresa al menos 1 vez al día. Hay cuatro tipos de copias de seguridad: copias completas e incrementales.
Las copias completas hacen un back-up de todos los datos de la empresa; las copias diferenciales hacen la copia solo de los archivos que se hayan modificado desde la copia completa; las copias incrementales solo copian lo que se haya cambiado desde la última copia de seguridad (ya sea completa o diferencial); y, por último, la copia espejo o RAID 1 copia los datos en tiempo real (pero si se eliminan del original, también se eliminan de la copia).
Algunas empresas lo que hacen es hacer una copia completa durante el fin de semana y copias incrementales de lunes a viernes. Así, si por cualquier motivo se pierde el sistema, se puede recuperar la copia del fin de semana pasado e ir añadiéndole las incrementales. La frecuencia con la que se hace un tipo de copia u otra depende de los protocolos de la empresa y del tipo de seguridad que necesita.
Tipos de seguridad TIC
Dentro de la seguridad TIC, hay muchos subtipos de seguridad que tener en cuenta. Ya se ha mencionado anteriormente la ciberseguridad, a continuación, se tratará más en profundidad sobre los diferentes tipos de seguridad TIC:
Seguridad en la red
A la seguridad en la red también se le conoce por su nombre anglosajón network security. Esta seguridad se encarga de proteger la red de la empresa, tanto a nivel de software como de hardware. Los responsables de que la red siga intacta, utilizable, e íntegra son los administradores de red o de sistemas.
Los administradores buscan las debilidades de una red y tratan de llevar a cabo medidas proactivas con las que proteger la red de un posible ataque malicioso. Para ello, se realiza una auditoría en la que se redacta un informe de vulnerabilidad con los puntos débiles. En el informe de auditoría se debería incluir:
- Parte externa: en esta parte del informe, se estudia la empresa para asegurarse de que la empresa:
- Dispone de un certificado que asegure que el cableado está bien puesto, de forma que no se pueda romper ni ser pinchado;
- Tiene el router actualizado y con las protecciones pertinentes;
- Tiene los puntos de acceso protegidos, es decir, que no pueda entrar nadie que no esté autorizado, por ejemplo con tarjetas identificativas que permitan la entrada de los empleados a las zonas autorizadas.
- Denegar también el acceso a la red wifi de la empresa ni en su red.
- Revisión de los equipos: hay que revisar ordenador por ordenador para comprobar que todos los softwares, navegadores y los antivirus estén actualizados. Si cualquiera de ellos estuviera desactualizado, eso supondría una brecha de seguridad por donde un cracker podría colarse.
- Controlar a los usuarios: comprobar que los usuarios trabajan siguiendo las medidas de seguridad establecidas en los protocolos de la política de la empresa. Por ejemplo, bloquear páginas que puedan perjudicar la integridad de la seguridad de la seguridad TIC, inhabilitar el uso del pen drive y del CD-Rom. Otra medida que se toma es la de solo permitir que suban un tipo de archivos y, además, que los empleados lo suban después de haber comprobado con el antivirus que es seguro.
- Revelar los datos al gerente: se le da el informe completo de la auditoría al gerente o director para que decida qué hacer a continuación.
Se recomienda que la auditoría lo haga alguien ajeno a la empresa para mantener la objetividad. Una vez redactado el informe, una empresa debe decidir si quien ha redactado el informe es quien se encarga de hacer las mejoras necesarias del sistema o, si tiene un equipo de informáticos especializados, encargarse de forma interna. Esto es importante ya que, si hay algún fallo donde debería estar parcheado , el responsable del fallo sería quién se encargó del parcheado, ya sea el auditor o la empresa. Además, tanto si lo ha hecho el auditor o la empresa, también se le puede someter a prueba al punto débil con un sistema de detección de intrusión de red (Network Intrusion Detection System, NIDS). Esto sirve para asegurarse de que todo está correcto.
Además, un error común en las organizaciones es el de no actualizar el software. Esto se debe a que si se actualiza, las personalizaciones realizadas dejan de funcionar. Esta práctica no es nada recomendable, ya que deja brechas de seguridad a través de las cuales podrían entrar amenazas para los datos de la empresa. Otros consejos para una empresa sería el de tomar diversas medidas de prevención como: añadir palabras random a las contraseñas para hacerlas menos comunes, cambiar las contraseñas al menos dos veces al año, control de acceso , honeypots (señuelos que objetivo posibilitan detectar cualquier un ataque informático y obtener información del mismo y del atacante), etc.
Ciberseguridad
La ciberseguridad (cybersecurity o internet security en inglés) trata de prevenir y protegerse de la incertidumbre que hay en internet. Por tanto, la ciberseguridad se enfoca en la manera en la que la información se envía y se recibe en los navegadores.
Además,la ciberseguridad está estrechamente relacionada con la seguridad de red. En muchos casos, incluso es común que estos dos tipos de seguridad se solapen, por ejemplo, cuando una red interactúa con una aplicación web. En este caso, para evitar enviar información por toda la red, las empresas bloquean posibles intrusiones con firewalls, anti-malware y anti-spyware.
Por otra parte, para proteger los canales de comunicación, la ciberseguridad de la empresa implementa los protocolos de TCP/IP y de encriptación de capa de conexión segura (Secure Sockets Layer, SSL) o de seguridad de la capa de transporte (Transport Layer Security, TLS). Otros métodos de protección son los tockens de seguridad, WebSockets, cifrado de extremo a extremo (end-to-end encryption), etc.
Seguridad en la nube
La seguridad en la nube (Cloud Security) adquiere cada vez mayor importancia ya que se ha incrementado el uso de la nube que hacen las empresas. Esto se debe a que muchos de los servicios y herramientas que se desarrollan y contratan hoy en día están la nube. Ya sean servidores , e-mails, almacenamiento de datos , aplicaciones o informática.
La empresa debe establecer protocolos para protegerse ante cualquier peligro que se derive de la nube, teniendo en cuenta si pública, privada o híbrida . Para ello, se crea un marco de seguridad cloud con la estrategia establecida para gestionar las operaciones en la nube, control de acceso, protección de datos, encriptación etc. Aquí los usuarios también tiene que tener sus pautas de seguridad para que no se suba ningún archivo infectado, ya que podría infectar al resto. La seguridad en la nube significa que el servidor no está en la oficina, sino que está en otro emplazamiento lo tiene un proveedor. En el segundo caso, la seguridad del servidor corre a cargo del proveedor. El proveedor tiene un equipo de trabajadores especializados en los servidores para garantizar la seguridad del servidor.
Atención: cuando se tiene un sistema en la nube, hay que asegurarse de que el servidor donde se aloja cumple con la legislación. Por ejemplo, que el servidor esté físicamente en Europa y que no haga transferencias de datos internacionales puede prevenir que no se cumpla con el reglamento general de protección de datos. Sobre todo si se trata de datos personales.
En el caso de que el software estuviera instalado en local (on-premise), es la empresa misma la que debe hacerse cargo de la seguridad de sus servidores. Para ello debe tomar medidas de seguridad físicas donde se encuentren los servidores. Estas medidas son de tipo: contra incendios; acceso vigilado y limitado al emplazamiento; mantenimiento de nivel de humedad óptimo; etc. Y, también, establecer medidas de seguridad lógicas como: muros, cortafuegos y sistemas de usuarios y contraseñas.
La ventaja de seguridad que presenta el on-premise es que, si la empresa quiere llevar cualquier cambio o personalización, pueden comenzar instantáneamente sin tener que esperar al proveedor. Si la empresa no tiene un equipo específico y especializado en el mantenimiento de los servidores en local, también puede subcontratar este servicio a una empresa que se dedique a ello.
Seguridad en los dispositivos
Este tipo de seguridad, también conocida como end-point security, se centra en proteger a la empresa a nivel de dispositivos. Es decir, refuerza la protección de los datos en el momento de entrada y salida.
Por tanto, cualquier dispositivo que pretenda acceder a la red empresarial debe estar autorizado para garantizar la seguridad. Estos dispositivos pueden ser teléfonos inteligentes (smartphones), ordenadores, portátiles, tablets, puntos de venta inalámbricos (wireless), entre otros. En el caso de los smartphones, si la plataforma con la que se va a trabajar es a través de un enlace de internet, es fácil. La complejidad añadida aparece con los sistemas operativos, que para las operaciones cotidianas no dan problemas, pero cuando el móvil debe acceder a un software es más complicado.
Algunas empresas proporcionan dispositivos móviles a sus empleados o les ofrece la modalidad de “trae tu propio dispositivo” (Bring Your Own Device , BYOD) para trabajar fuera de la oficina. Tanto el proveedor del software como el administrador de la empresa pueden dar de alta o de baja la autorización de los dispositivos. Por tanto, si el dispositivo ha sido robado, hay que comunicárselo inmediatamente al proveedor para que lo dé de baja.
La forma más común de seguridad en los dispositivos en acción es la red privada virtual (Virtual Private Network, VPN). Este es el caso del ejemplo anterior, en el que para acceder a la red wifi de las universidades, hay que insertar en el dispositivo el usuario y la contraseña. Además, si alguien no autorizado intenta entrar en el sistema a través de un sistema, la huella digital identificará al intruso, se le negará el acceso y alertará al proveedor para que tome las medidas pertinentes.
Otra medida de seguridad que deberían tomar las empresas es la de inhabilitar la posibilidad de conectar un dispositivo USB y la de subir los archivos de la empresa a cualquier servidor de alojamiento de archivos externo, por ejemplo, Dropbox, ya que no se compromete a que el servidor esté en Europa ni que cumpla con las normas del GDPR. Al denegar la conexión, se protege a la empresa de dos formas: una, impidiendo que entre cualquier malware que pudiera encontrarse en el dispositivo USB del usuario; y la segunda, impidiendo la fuga de datos.
Seguridad TIC en un sistema de gestión documental
La seguridad TIC tiene mucho cuidado con los archivos de la empresa, es por eso que un sistema de gestión documental juega un gran papel en la seguridad. Dentro de las diferentes medidas para la protección de los datos con la gestión documental se incluye: establecer usuarios y contraseña y diferentes niveles de control de acceso . Con esta medida, los empleados que no deban tener acceso a ciertos documentos, no los podrán ver ni sabrán que esas carpetas existen. Los gerentes pueden inhabilitar la cuenta del empleado, pero desconocen los usuarios y contraseñas de los empleados. Este desconocimiento evita que se modifiquen los documentos sin el conocimiento del empleado y para evitar pequeñas revanchas que se puedan tomar por temas personales.
Si para hacer una operación un empleado que no está autorizado a cierto documento tiene que acceder a él, se le puede conceder un permiso temporal. El acceso se permite con la concesión de la llave del gerente o director. Por ejemplo, si un ingeniero informático quiere acceder a un documento al que no tiene acceso, su gerente y alguien de dirección deben otorgarle una clave para que pueda acceder.
Atención: cuando se le concede el acceso temporal a un archivo a un empleado, el gerente o el director pueden concederle un permiso con ciertas limitaciones. Por ejemplo: que solo puedan verlo durante 10 minutos o dejarles consultar el documento pero no modificarlo.
Además, se recomienda almacenar los documentos en un sistema de gestión documental . Este software permite trabajar con los documentos de forma segura, encriptando las carpetas donde están los archivos, para que no sean legibles por alguien ajeno a la empresa. Las medidas de seguridad y funcionalidades del gestor documental pueden varias dependiendo de la forma de trabajar de la empresa. Sin embargo, una funcionalidad que no suele faltar es el control de trazabilidad , ya que así se puede saber quién creó el documento y quiénes lo han editado. De esta forma, si se detecta un error, se puede saber quién lo cometió o cuándo y proceder a solucionarlo.
La trazabilidad está muy relacionada con el control de versiones , ya que se puede volver a versiones anteriores de un documento. No obstante, hay que especificar al proveedor si se desea o no que los documentos se puedan descargar. Si se les ofrece a los usuarios la oportunidad de descargar los archivos, hay que otorgarles un seguimiento a los documentos para saber quién ha descargado el documento, si se lo ha enviado a alguien y si ese alguien lo ha mandado a más gente. Si no se les concede la posibilidad de descargar los documentos, estos tendrán que editarse desde el sistema, evitando la duplicidad del documento y la fuga de datos.
El problema de la duplicidad también se puede dar si los empleados se pasan los archivos por email en vez de por el sistema de la empresa. Ya que eso repercutirá en el número de copias que existen del documento y puede inducir a error a la hora de llevar un proyecto a cabo . Por ejemplo, si una empresa de construcción va a comenzar con la construcción de un centro comercial y se tiene varias versiones distintas del documento que se ha validado. Se podría comenzar a construir una versión del documento que no es la correcta y, para cuando se dieran cuenta, sería muy tarde y se retrasaría la fecha de finalización de la obra.
Otro problema de duplicidad de documentos surge cuando los empleados imprimen los documentos. En algunas empresas se imprimen los documentos para que se firmen o se compulsen y los escanean para subirlos al sistema. En este caso se pueden tomar dos medidas: una, consistiría en subir la imagen a sistema y ponerlo en la carpeta suplantando la versión anterior o señalando que es la versión actualizada y que la que se imprimió está desactualizada. Tras la correcta subida de la nueva versión, es posible que se tenga que destruir el documento físico o archivarlo correctamente para que nadie sin autorización a dicho documento pueda consultarlo.
La segunda medida supone un cambio en la forma de actuar de la empresa. Este cambio consistiría en otorgar firmas electrónicas cualificadas a los usuarios que tengan que compulsar y firmar estos documentos. Al concederles la firma, podrían agregarla en la versión del sistema sin tener que pasar por imprimir, firmar, compulsar y escanear. Esta segunda medida significa tener que hacer una mayor inversión de dinero, por las modificaciones, y de tiempo, por enseñar al personal cómo funciona. Sin embargo, a largo plazo ahorraría tiempo y aumentaría la eficacia, ya que, en vez de tener que: imprimir, llevar el documento a que lo firmen, que lo firmen, y que finalmente se escanee y se suba; solo se manda al responsable de firmar y, en cuanto este lo reciba, puede firmarlo desde el sistema y pasarlo a quién se requiera.
En otros casos, los usuarios imprimen los email no porque sea una metodología de la empresa, sino para estudiarlos en papel físico, hacer anotaciones y, así, luego, trabajar sobre el original o para pedir consejo a un compañero. Esta práctica es desaconsejable ya que puede que se le olvide pasar una modificación o que lo vea alguien que no deba. Para ello, en los cursos y charlas de seguridad este es uno de los temas a tratar con los empleados y se les enseña dónde está el apartado de comentarios del sistema.