Imprescindibles para proteger el principal activo de la organización
- Seguridad
A día de hoy, todos somos conscientes de que la información es el principal activo de una organización, y sabe cómo protegerlo es básico. INCIBE, el Instituto Nacional de Seguridad, nos da las claves.
Según este organismo, controlar quién accede a la información de nuestra empresa será el primer paso para protegerla. Para ello, tendremos que determinar quién tendrá permisos para acceder a la información, cómo, cuándo y con qué finalidad. En función de estos datos, se pueden adoptar una serie de medidas, que desglosamos a continuación.
Una vez tenemos conciencia de quien maneja la información en mi organización, es necesario adoptar una serie de medidas de seguridad en los sistemas y entornos en los que se opera, que, según INCIBE, son las siguientes:
- Política de usuarios y grupos. Se trata de definir una serie de grupos que tendrán acceso a una determinada información, teniendo en cuenta el área o departamento al que pertenece el empleado, el tipo de información a la que tendrá acceso, y las operaciones que podrá realizar sobre la información que tenga acceso.
- Asignación de permisos. Es preciso establecer perfiles de usuario y a qué grupos pertenecerán, y concertar qué acciones podrán realizar sobre la información: creación, lectura, borrado, modificación, copia, etc. Como norma general, se otorgará el mínimo privilegio a la hora de establecer estos permisos, y se deberán realizar revisiones periódicas de los permisos concedidos a los usuarios.
- Creación, modificación y borrado de las cuentas de usuario. Deberá existir un procedimiento para realizar estas acciones con las cuentas de los usuarios. A la hora de crear una cuenta a un usuario, deberá detallarse qué acciones se le permiten, así como dotarle de unas credenciales de acceso que le serán entregadas de forma confidencial. Además, se le informará de la política de contraseñas de la organización.
- Cuentas de administración. Son las más delicadas ya que cuentan con los permisos necesarios para realizar cualquier acción sobre los sistemas que administran. Por lo tanto, únicamente habrá que utilizarlas cuando sean necesarias labores de administración. Además, hay que utilizar el doble factor de autenticación para acceder como administrador, registrar todas las acciones mediante un registro de logs, evitar que los permisos de administración sean heredados, utilizar contraseñas robustas y cambiadas cada cierto tiempo y someterlas a auditorías periódicas.
- Mecanismos de autenticación. Se deberá definir e implantar los mecanismos de autenticación más adecuados a la hora de permitir el acceso a la información de la empresa.
- Registro de eventos. Es necesario que todos los eventos relevantes en el manejo de la información queden registrados, reflejándose de manera inequívoca quién accede a la información, cuándo, cómo y con qué finalidad.
- Revocación de permisos y eliminación de cuentas. Si finaliza la relación contractual con un trabajador, será imperativo revocar sus permisos, eliminar sus cuentas de correo y sus accesos a repositorios, servicios y aplicaciones.
