Desde hace ya más de 30 años, cada 30 de noviembre, se celebra el Día Internacional de la Seguridad de la Información. El objetivo es concienciar a la sociedad sobre la importancia de proteger la información a través de una serie de medidas de seguridad.
Mantener los datos a salvo, ya sea en entornos laborales o personales, es vital para evitar robos de datos financieros, de identidad… nuestros o de nuestros clientes. De esta necesidad fuimos realmente conscientes cuando surgió en 1988 el primer caso de malware, conocido como Gusano Morris. El tamaño de Internet en aquel entonces era de unos 60.000 ordenadores y el gusano afectó a unos 6.000 en los Estados Unidos, incluyendo el centro de investigación de la NASA.
A partir de este momento, todas las compañías empezaron a tomar conciencia de la importancia de proteger los datos de sus clientes. A la hora de garantizarlo, desde el Instituto Nacional de Ciberseguridad (INCIBE) apuntan que la primera pregunta que debemos hacernos, antes incluso de poner en marcha medidas orientadas a la protección de datos, es quién maneja la información en mi empresa.
Medidas de proteger los datos que manejes
Determinar qué empleados tendrán permisos para acceder a la información, cómo, cuándo y para qué debe ser el siguiente paso. Para ello:
- Define aquellos usuarios y grupos que tendrán acceso a determinada información.
- Asigna permisos. Establece perfiles de usuario y los grupos a los que pertenecen y decide qué podrán hacer con la información (creación, lectura, edición…). La recomendación que hacen desde INCIBE es otorgar el mínimo privilegio.
- Detalla qué acciones se le permiten a cada usuario y otorga unas credenciales de acceso confidenciales. Establecer una política de contraseñas en la empresa e informar a los empleados es otra buena práctica.
- Presta especial atención a las cuentas de administración. Éstas cuentan con todos los permisos para realizar cualquier tipo de acción sobre los sistemas que administran. Por ello, créalas únicamente cuando sean necesarias; activa la doble autenticación; realiza auditorías periódicas y utiliza contraseñas robustas.
- Establece un protocolo de registro de eventos para que cualquier manejo de información quede registrado de forma clara.
- Revisa periódicamente los permisos otorgados a los usuarios.
- Revoca permisos y elimina cuentas de usuario siempre que un empleado deje de trabajar en la empresa.
No podemos olvidar que los datos son uno de los principales activos que manejan las organizaciones, por lo que aprovechamos una celebración como la de mañana, el Día Internacional de la Seguridad de la Información, para hacer especial hincapié en esta cuestión.
