Día Internacional de la Seguridad de la Información – 30 de noviembre

Día Internacional de la Seguridad de la Información – 30 de noviembre

 

El Día Internacional de la Seguridad de la Información se celebra el 30 de noviembre.

El Día Internacional de la Seguridad de la Información (DISI) tiene como objetivo concienciar y recordar a la población la importancia de la protección de la información, tanto la de su empresa como la suya propia, para evitar el robo de identidades, datos financieros y personales.

Una iniciativa de la Association for Computing Machinery (ACM), cuyo objetivo es concienciar de la importancia de proteger la información a través de una serie de medidas de seguridad en los sistemas y entornos en los que se opera.

 

 

Esta celebración surgió en 1988 como consecuencia del primer caso de ‘malware’, denominado como el ‘Gusano de Morris’, que afectó al 10% de los equipos conectados al predecesor de internet, la Arpanet, el 2 de noviembre de ese mismo año.

Este incidente, sumado al creciente uso de los ordenadores como herramientas de trabajo, tanto para las empresas como para los gobiernos, puso de manifiesto los riesgos a los que se exponía la información sensible.

El aumento de la preocupación en las empresas respecto a las posibles consecuencias de una fuga de información dio pie a la creación del Día Internacional de la Seguridad de la Información, que se estableció el día 30 de noviembre.

Este día se fijó con el objetivo de concienciar y recordar a las compañías, pero sobre todo a las personas, la importancia que tiene adoptar buenas prácticas que favorezcan la protección de la información.

 

La seguridad de la información es la aplicación de tecnologías, procesos y controles para proteger sistemas, redes, programas, dispositivos y datos de ataques cibernéticos.

También se le conoce como seguridad de la tecnología de la información o ciberseguridad.

 

El Computer Security Day aparece para recordarnos ciertas actitudes generales que los particulares y las empresas debemos aplicar con el objetivo de no convertirnos en víctimas del ramsonware, del adware, del spyware, de los gusanos informáticos o de cualquier tipo de malware existente.

El empleado es el primer eslabón del sistema de seguridad informática.

Ninguna empresa puede estar protegida si sus trabajadores no conocen los riesgos de determinadas prácticas y ponen en peligro a la organización.

Cada vez más empresas las que aprovechan este Día Mundial de la Seguridad de la Información para programar entrenamientos de seguridad para sus empleados.

El principal valor de cualquier empresa del siglo XXI es la información y los datos.

Las fugas de información provocadas por los ataques digitales ponen en peligro la integridad económica y moral de la marca. Invertir un día en aumentar la seguridad de todo el sistema resulta tan rentable como recomendable.

El Día Internacional de la Seguridad de la Información es un buen día para analizar la seguridad de nuestros equipos y ponerlos a punto.

 

Desde la actualización del software antivirus hasta la asignación de todos los permisos de acceso, hasta la implantación de mecanismos de autenticación.

Son acciones que nos pueden proporcionar una mayor protección frente a los ciberdelincuentes y sus programas informáticos.

Hay determinar quién tendrá permisos para acceder a la información, cómo, cuándo y con qué finalidad.

Para establecer este control de accesos habrá que tener en cuenta aspectos como la, descentralización de la información entre equipos, redes remotas o de terceros o el uso de dispositivos móviles en centros de trabajo que en ocasiones son de propiedad privada del empleado (BYOD).

 

Medidas Principales de Seguridad de la Información

 

Política de usuarios y grupos

Se trata de definir una serie de grupos que tendrán acceso a una determinada información, teniendo en cuenta los siguientes aspectos:

  • área o departamento al que pertenece el empleado;
  • tipo de información a la que tendrá acceso;
  • operaciones que podrá realizar sobre la información que tenga acceso.

 

Asignación de permisos.

Establecer perfiles de usuario y a qué grupos pertenecerán. Además, habrá que concertar qué acciones podrán realizar sobre la información: creación, lectura, borrado, modificación, copia, etc. Como norma general, se otorgará el mínimo privilegio a la hora de establecer estos permisos.

 

Creación, modificación y borrado de las cuentas de usuario.

Deberá existir un procedimiento para realizar estas acciones con las cuentas de los usuarios. A la hora de crear una cuenta a un usuario, deberá detallarse qué acciones se le permiten así como dotarle de unas credenciales de acceso que le serán entregadas de forma confidencial. Además, se le informará de la política de contraseñas de la organización, que deberán ser robustas y cambiadas cada cierto tiempo.

 

Cuentas de administración.

Son las más delicadas ya que cuentan con los permisos necesarios para realizar cualquier acción sobre los sistemas que administran. Por lo tanto, habrá que tener en cuenta una serie de aspectos como los siguientes:

  • Únicamente utilizarlas cuando sean necesarias labores de administración;
  • Utilizar el doble factor de autenticación para acceder como administrador;
  • Registrar todas las acciones mediante un registro de logs;
  • Evitar que los permisos de administración sean heredados;
  • Utilizar contraseñas robustas y cambiadas cada cierto tiempo;
  • Someterlas a auditorías periódicas.

 

Mecanismos de autenticación.

Se deberá definir e implantar los mecanismos de autenticación más adecuados a la hora de permitir el acceso a la información de nuestra empresa.

 

Registro de eventos.

Es necesario que todos los eventos relevantes en el manejo de la información queden registrados convenientemente, reflejándose de manera inequívoca quién accede a la información, cuándo, cómo y con qué finalidad.

 

Revisión de permisos.

Se deberán realizar revisiones periódicas de los permisos concedidos a los usuarios.

 

Revocación de permisos y eliminación de cuentas.

Si finaliza la relación contractual con un trabajador, será imperativo revocar sus permisos, eliminar sus cuentas de correo y sus accesos a repositorios, servicios y aplicaciones.

Para preservar la integridad de la información hay que establecer una política de seguridad que gestione el control de los accesos a la misma.

 

 

Te puede interesar;

🔹 Día Internacional del Acceso Universal a la Información

🔹 Día Internacional de los Archivos

 

Referencias;

  • bbva.com/dia-internacional-de-la-seguridad-de-la-informacion/
  • forbes.com.mx/red-forbes-dia-internacional-de-la-seguridad-de-la-informacion/
  • incibe.es/dia-internacional-seguridad-informacion-el-control-accesos
error: Content is protected !!