Debo cifrar la informacion sensible cast

Cuando hablamos de activos de empresa, tendemos a considerar únicamente como tales los bienes tangibles, como por ejemplo mobiliario, maquinaria, los servidores, etc. Pero no debemos olvidar que también son activos, en este caso intangibles, la cartera de clientes, nuestras tarifas, la propiedad intelectual o incluso la identidad de la empresa. Toda esta información personal, financiera, legal, de I+D, comercial y estratégica, junto con el software para manejarla, son nuestro principal activo. Sin ella no podríamos prestar nuestros servicios ni vender nuestro producto. Por ello es necesario preservar su integridad, confidencialidad y seguridad.

Para poder llevar a la práctica esta protección, tendremos que poner en marcha una serie de políticas de seguridad para, entre otras cosas, localizar y clasificar la información crítica, controlar quién tiene acceso a la información y a qué información,  proteger nuestros sistemas y también permitirnos utilizar los mecanismos necesarios para poder cifrar aquella información especialmente sensible o confidencial, como por ejemplo: copias de seguridad que vayamos a almacenar en la nube, datos personales sensibles, planes estratégicos, etc.

Entre la información que necesitaremos cifrar estará:

  • La información almacenada (discos, ordenadores, portátiles, dispositivos móviles, memorias externas):
    • backups que vayamos a subir a la nube;
    • datos personales sensibles, si trabajamos por ejemplo con datos de salud; e
    • información confidencial como planes estratégicos.
  • Las comunicaciones o información en tránsito, como correos electrónicos o transacciones a través de la web.

¿Cuál es la finalidad del cifrado?

El cifrado tiene como finalidad ofuscar la información mediante técnicas criptográficas para así evitar que los datos sean legibles para aquellos que no conozcan la clave de descifrado. Este tipo de técnicas son una solución eficaz para el almacenamiento y transmisión de información sensible, especialmente a través de soportes y dispositivos móviles, ya que:

  • permiten controlar el acceso a la información;
  • limitan la difusión no autorizada en caso de pérdida o robo de dichos soportes.

Por otro lado, no debemos dejar de lado otro tipo de aspectos complementarios, como los siguientes:

  • la clave de descifrado deberá ser lo suficientemente robusta para que impida accesos no autorizados a la información que se protege;
  • si pierdes la clave, no podrás acceder a la información;
  • ante un fallo del dispositivo de almacenamiento físico, sería muy complicado recuperar la información, se encuentre cifrada o no.

En algunas ocasiones, para el intercambio de documentos habrá que utilizar una infraestructura de claves públicas de cifrado (PKI por sus siglas en inglés Public Key Infrastructure), proporcionadas por Autoridades de Certificación (AC o CA, según las siglas de Certification Authority). Por ejemplo, para el envío de documentos como facturas o notificaciones a las AAPP, habrá que utilizar la firma electrónica. 

¿Quieres estar al día de todas las amenazas y evitar el desastre? Suscríbete a la lista de concienciación Infordisa




Las herramientas criptográficas

Para cifrar la información, utilizaremos herramientas criptográficas. Su objetivo es convertir los datos en ilegibles para todos aquellos que no dispongan de la calve de descifrado. Al cifrar se garantiza la integridad de lo cifrado y su confidencialidad. Es decir, se podrá comprobar que la información no ha sido alterada y que nadie que no conozca la clave ha podido verla. Además, hay técnicas que permiten firmar electrónicamente tanto documentos como correos electrónicos, por ejemplo facturas, contratos, o los que contienen información personal o de clientes, etc. Esto garantizará además su autenticidad y no repudio, es decir, que procede de quien lo firmó y que no puede decir que no lo envió. 

Elegir la herramienta correcta de cifrado dependerá de una serie de variables, como son las siguientes:

  • si queremos una herramienta transparente para el usuario o no;
  • si el descifrado de la información debe realizarse en cualquier lugar;
  • el perfil de usuario que va a utilizar la herramienta de cifrado.

Debemos tener en cuenta que para cifrar información no siempre será necesario utilizar herramientas específicas, ya que algunos programas de uso generalizado, como los paquetes ofimáticos o los compresores de ficheros, ya las incorporan. 

Por otro lado, tanto para el cifrado de la información como para el uso de la firma electrónica, es necesario realizar previamente un análisis exhaustivo que permita identificar qué información será susceptible de cifrado y cuál requerirá de firma electrónica. 

Tenemos que acordarnos también de proteger la información en tránsito y utilizar protocolos seguros en nuestras comunicaciones con el exterior de  nuestra red, ya sea con nuestros empleados, como con clientes, proveedores o usuarios de nuestros servicios. Para ello, en nuestra web, además de contar con mecanismos de autenticación si tenemos usuarios que se conecten a ella, contrataremos un certificado web que será de validación extendida si desde ella se pueden hacer transacciones económicas. Para accesos desde fuera de la red a nuestros servidores nuestros teletrabajadores y otros colaboradores pueden hacer uso de una VPN (por sus siglas en inglés Virtual Private Network, en español Red Privada Virtual), cuando sea necesario. 

La información es el principal activo de cualquier organización. Garantizar su integridad y confidencialidad es una prioridad cuando hablamos de ciberseguridad. Aquella que consideres más sensible o confidencial deberá estar cifrada con herramientas criptográficas. Que nadie ajeno acceda a los datos que se almacenan o circulan entre los distintos dispositivos que conforman tu red, protege tu empresa y protege tu información.

Si quieres leer el artículo completo de Incibe, puedes hacerlo aquí.

Empresas redoblan inversion ciberseguridad

El sector crece por encima del 150% por la proliferación de ataques en internet y la entrada en vigor de la RGDP

 

La custodia de datos pasa de ser una cuestión tecnológica a ser vital para las compañías

La ciberseguridad ha pasado de ser una cuestión tecnológica a ser elemento vital para las empresas. El sector registra en los últimos dos años crecimientos del 150% y las grandes asesorías internacionales apuestan por ampliar los servicios de asesoramiento ante las nuevas amenazas. La proliferación de ataques informáticos contra las empresas y la entrada en vigor de la normativa RGDP, que prevé cuantiosas multas a las firmas que sufran fallos en la custodia de datos personales de sus clientes, eleva la demanda de auditorías. La ciberseguridad ha pasado de ser cuestión técnica a ser de atención prioritaria para los consejos de dirección. Sufrir un ataque informático y sucumbir supone una amenaza para la supervivencia de cualquier compañía.

El holliwoodiense ataque a Sony Pictures un día después del estreno en Estados Unidos de la película ‘The Interview’, con la publicación de documentos confidenciales incluidos, con la caída de las acciones de la empresa, o el impacto del virus Wannacry, que se expandió por todo el mundo son algunos de los ciberataques más sonados. Sin embargo, los ataques proliferan y no solo afectan a grandes multinacionales, ya que el 70% de las pymes españolas han sufrido un ciberataque, según la empresa de seguros AXA.

Greg Bell, responsable de la división internacional de ciberseguridad de la consultora KPMG, advierte de que «el transmitir confianza a los clientes y proveedores debe se una línea estratégica para las empresas y no solo minimizar los riesgos de un ciberataque». En opinión de Akhilesh Tuteja, responsable del área de ciberseguridad en la India de la consultora KPMG, «la ciberseguridad se ha convertido en un problema fundamental para las empresas, ya está en el ‘core business’ de cualquier negocio por sus implicaciones comerciales y económicas. Los riesgos han aumentado y el asunto se discute ya en la alta dirección de las compañías».

La multinacional KPMG es una de esas firmas que registra en su división de ciberseguridad en España un crecimiento del 200%. Pero no es la única. La propia Generalitat de Catalunya, a través de la agencia de Competitivitat Acció, se ha hecho eco de este crecimiento del sector y ha llegado a calcular que atrae ya a 352 empresas con casi 6.000 trabajadores. Expertos del sector calculan que en España las empresas del sector mueven en torno a 1.200 millones de euros, aunque son estimaciones difíciles de comprobar, casi tanto como los costes que supone levantar la guardia. En ciberseguridad los errores se pagan, pero las firmas afectadas callan para preservar su reputación.

Los ataques

«El 80% de los ataques a empresas son consecuencia de empleados o exempleados. El 60% de ellos no son intencionados y el 40% restante responde a intereses económicos», explica Sergi Gil López, director de Ciberseguridad de KPMG en Barcelona. Esta división, que en España ya tiene un centenar de empleados especializados, asesora a las empresas en la lucha contra los ataques a sus sistemas de información.

1536941140723

Greg Bell (responsable ciberseguridad KPMG internacional), Akhilesh Tuteja (responsable ciberseguridad de KPMG en la India) y Sergi Gil (responsable ciberseguridad de KPMG en Barcelona).ie de foto / FERRAN NADEU

KPMG dispone de equipos de ‘hackers’ propios que monitorizan la ‘deep web’, esa porción de la red oculta a los buscadores, en busca de signos de venta de información y planes de ataques. También realizan análisis de vulnerabilidades de las empresas preocupadas por sus datos. Las empresas aseguran sus redes, aunque KPMG advierte de que la ciberseguridad pasa casi siempre por la concienciación del problema por parte de todos los integrantes de las empresas ya que la delincuencia tiende a atacar más a través de sus empleados o directivos.

Amenaza para la industria

«La amenaza ha pasado de estar en un entorno de las tecnologías de la información a entornos OT (operational tecnologies), por lo que las empresas de ciberseguridad son imprescindibles para evitar que lleguen a parar las maquinas en las empresas tras un ciberataque», explica Gil. «Otro problema es que hasta ahora siempre se había creído que la ciberseguridad era algo que afectaba especialmente a las empresas de servicios y es precisamente en la industria donde son necesarias medidas urgentes de protección», añade el responsable de KPMG en Barcelona. En su opinión, las empresas destinan en general escasa inversión para mejorar sus medidas de defensa y «cuando se produce un ataque, los costes son 500 veces mayores».

Se calcula que el 40% de los ciberataques tienen como consecuencia directa la paralización de las operaciones y la facturación, el 39% pérdida de información confidencial y el 32% una pérdida de calidad del producto, según el informe elaborado por Acció. Las empresas paralizan sus operaciones una media de 17 horas anuales por ataques informáticos.

Sectores

«Las empresas comienzan a ser cada vez más conscientes de la importancia de invertir en seguridad para prevenir este tipo de riesgos, aunque todavía estamos muy lejos de alcanzar el nivel de concienciación de otros países. Muchas de ellas piensan ‘a mí esto no me pasa, solo les ocurre a grandes corporaciones'», opina el director territorial de Catalunya de AXA, Josep Armas. Los sectores en los que la ciberseguridad se muestra un elemento más crítico son la banca y la sanidad, pero el impacto económico depende en gran medida del tamaño de la empresa u organización afectada. A escala internacional, el sector de la ciberseguridad mueve del orden de 93.000 millones de dólares, según el informe de Acció, con especial concentración de grandes empresas en EEUU, Reino Unido e Israel.

 

Si quieres leer el artículo completo de el Periódico, puedes hacerlo aquí.