Por José Luis García.

El concepto de seguridad en la información nació antes de la era de la informática y telecomunicaciones, y se mantienen los mismos objetivos desde su inicio: confidencialidad, integridad y disponibilidad de la información o mensaje.

En nuestro tiempo, el desarrollo de las telecomunicaciones, de la informática y de los dispositivos electrónicos, han permitido canalizar, procesar, almacenar y difundir la mayoría de la información. Desde las Administraciones Públicas, pasando por las empresas, terminando en la mayoría de las personas que disponen de un teléfono y cómo no, en los despachos de abogados.

Las posibilidades de comunicación y de transmisión de la información son enormes, evolucionando exponencialmente, y en la misma medida evolucionan los riesgos que se ciernen sobre la confidencialidad, integridad y disponibilidad de la información.

Muchos de estos riesgos son conocidos, se denominan vulnerabilidades. La industria genera las correspondientes actualizaciones para proteger el software de los dispositivos.

La cuestión clave surge de las vulnerabilidades que no son conocidas y de las que la industria no puede protegerse. Es un aspecto desconocido por muchos despachos, que confían en mantener la seguridad en la información con las actualizaciones de los fabricantes.

El negocio de la venta de estas “vulnerabilidades ocultas” se realiza en lo que llamamos “deep web”, y en contra de lo que podemos pensar, su utilización esta muy extendida.

Aunque no es el momento de describir las diferentes formas de flanquear la seguridad en la información, lo que me gustaría destacar es que los riesgos no están únicamente en los virus, phishing y malware, que es lo que casi todos conocemos, sino en aquellas vulnerabilidades más sofisticadas, casi indetectables y que son las que realmente hacen daño; sobre todo en despachos en las que se utiliza información que tiene un valor potencial para terceros.

Y ante esta situación, ¿qué podemos hacer?, la solución no es sencilla; si cabe es una combinación de formación, medidas pasivas y activas de seguridad y sobre todo de concienciación del modo de relacionarse con la tecnología y la información.

Todavía quedan muchos despachos en los que la seguridad de la información no es un aspecto que se trate en los Comités de Dirección, y a lo sumo se asume que el responsable de sistemas, o la empresa de mantenimiento está realizando la gestión de la seguridad. Me pongo en el papel de dicho responsable de sistemas, y me hago una serie de preguntas de cómo minimizar los principales riesgos de seguridad.

Copias de seguridad.  

¿Cada cuánto tiempo consideras deben ser realizadas copias de seguridad de los archivos que contienen la información más crítica de la empresa?

Cada despacho debería tener su propia política de copias de seguridad que adecúe el alcance y frecuencia de las copias de la información a las necesidades.

Si tuviera que poner una norma general, al menos debería hacerse tres copias incrementales diarias, y una copia diaria final a guardar en una ubicación diferente de las copias diarias. Las copias diarias deben guardarse al menos 30 días.

La información que se considere crítica debería tener un sistema adicional de copias de seguridad, con un backup diferenciado en ubicación diferente y guardando la información al menos 3 meses.

Un aspecto que se suele olvidar es la recuperación de la información de las copias de seguridad. Es habitual que se intente recuperar o restaurar la información de una copia de seguridad, y que existan múltiples problemas de recuperación.

Como resumen, las copias de seguridad se realizan para mantener la disponibilidad e integridad de la información y de los sistemas, y se debe tener en cuenta:

• Crear una política de copias de seguridad, que determine el alcance y frecuencia de la información a copiar.
• Verificar que las copias se realizan adecuadamente.
• Realizar una restauración de las copias de seguridad al menos cada tres meses.
• Disponer de varios dispositivos y lugares de almacenamiento de las copias de seguridad.

Ubicación de las copias de seguridad.

Como principio a seguir en la gestión del riesgo, las copias de seguridad deberían ubicarse en al menos dos lugares diferentes, con objeto de evitar la perdida de la información en el caso de siniestro por incendio, inundación, destrucción o avería del dispositivo que almacena la información.

Muchos despachos no disponen de los recursos para mantener diferentes ubicaciones donde se realicen y guarden las copias de seguridad. Desde hace unos años, varios fabricantes ofrecen estos servicios de copias de seguridad ubicadas en sus nubes. Los estándares de seguridad de estas nubes son muy elevados y permiten mantener el activo de la información a salvo incluso en situaciones críticas.

Contraseñas:

¿Con qué frecuencia deberían ser modificadas las contraseñas de acceso de los usuarios a los datos y aplicaciones?

En este aspecto los responsables de sistemas nos encontramos con la disyuntiva de mantener una política de contraseñas reforzada, y la comprensible resistencia de los usuarios a cambiar con frecuencia de las contraseñas.

Al final es una cuestión que debe resolverse, determinar el nivel de seguridad que quiere asumir el despacho sobre sus activos de información.

Este riesgo se incrementa cuando los despachos utilizan el sistema de “única contraseña” para el acceso al sistema y a todas las aplicaciones corporativas. Se denomina “Single Sign-On”, y cada vez es más utilizado.

Excepto en el caso de utilizar accesos restringidos o securizados como VPN, doble factor o similares, la mayoría de los despachos tienen como única medida de seguridad de sus aplicaciones el usuario y la contraseña.

Esta medida puede ser suficiente si se realiza dentro de un entorno seguro, como puede ser un dominio, o un entorno cerrado, pero casi todos los despachos utilizan servicios “publicados”, como el correo electrónico (que se puede consultar en el Smartphone o en cualquier ordenador con acceso a internet), o la intranet, u otros servicios. Esto es muy habitual por su comodidad por permitir de verdad la movilidad y el acceso a la información donde y cuando se necesita.

Bien, esto es el entorno en el que se mueven la mayoría de los despachos, y para ello se debería tener una política de contraseñas fuerte, de al menos 8 caracteres, que incluya números, letras y caracteres especiales, y que por lo menos se cambie cada 3 meses.

Como la caducidad de las contraseñas es un asunto que suele generar discrepancias internas, existen alternativas de doble autenticación activas e incluso biométricas que permiten dar un nivel adicional de seguridad.

Estas medidas habilitan a un dispositivo concreto a tener acceso al correo o a la aplicación, y avisan al usuario/responsable de los sistemas de información si se accede desde otro dispositivo a un servicio de información publicado.

En mi opinión, creo que el sistema de doble autenticación, (es decir, del usuario y del dispositivo), permite un nivel de seguridad adicional y evita estar cambiando con mayor frecuencia de contraseñas.

Para los accesos externos a los servicios y aplicaciones corporativas, lo ideal sería establecer un túnel cifrado de acceso remoto (VPN), utilizando un sistema de doble autenticación o en su defecto de un token que asegure el acceso.

Accesos externos a servicios corporativos:

¿Entre estos dispositivos, podría indicarme con cuales por orden de seguridad pueden acceder con su usuario y la contraseña?

VPN

Nube privada

Nube pública (gmail, dropbox..etc)

Bueno, cuando hablamos de dispositivos nos referimos a máquinas, y en este caso se pregunta el orden de seguridad de estos servicios.

El más seguro de los tres son las VPN (Virtual Private Network). Básicamente consiste en la creación de un canal cifrado para acceder remotamente a un determinado servicio o aplicación.

El siguiente sería una nube privada, donde se puede poner limitaciones y restricciones en función de cada usuario, intentos de acceso, que son personalizables según determine la política de seguridad y contraseñas del despacho.

En el siguiente nivel diferenciaría un servicio como Google drive, One drive del resto de servicios de nube. Las dos primeras son nubes que al menos identifican a los dispositivos que acceden y para un nuevo dispositivo solicitan doble autenticación, situación que las diferencia del resto. En el caso de no ser aceptada la doble autenticación, se bloquea el acceso.

En lo relativo a la seguridad, siempre existe el mismo dilema, decidir por la seguridad, o por la flexibilidad. Es decir, si queremos completa movilidad, facilidad de uso de todo tipo de dispositivos y nubes públicas, no se puede garantizar la seguridad, más aún, es fácil que se produzcan serios problemas de seguridad.

Aun así, el dilema continua. Por una parte, los usuarios quieren libertad de uso, poder utilizar todos los servicios que se ofrecen en internet, como pueden Google drive, Dropbox, Mega, correos personales (Gmail. Yahoo,…), poder comunicarte con todo tipo de apps,… y además existe el argumento poderoso de que los clientes demandan que se descarguen los documentos en Dropbox o que se adjunten a un WhatsApp o similar,…

La rigidez de la seguridad es una cuestión de política corporativa, depende de cómo se enfoque y se quiera entender internamente el valor de la información, de sus riesgos y el modo de minimizarlos.

¿Cómo se controlan los accesos a la Wifi corporativa?

Hay muchos modos de controlar el acceso Wifi corporativo. El primero evidente es conociendo la contraseña del Wifi, pero existen muchos otros controles.

Uno de los más eficientes es limitar las máquinas que pueden acceder, a través de la “matrícula” que tiene cada tarjeta de red, denominado “MAC” (Media Access Control).

Otro modo es limitar los accesos a un tipo o tipos de dispositivos; por ejemplo a los Smartphones de una despacho, o los de un determinado modelo,.

Existen muchos tipos de limitaciones de acceso o de tráfico que se pueden incluir en la política de seguridad que se aplica a los puntos de acceso WiFi.

¿Cuándo el personal se ausente por motivos de vacaciones, enfermedad, bajas..etc…se debería activar en el correo electrónico los mensajes de respuesta automática? ¿Con qué datos?

En lo relativo a las ausencia de trabajadores, la activación de los mensajes de respuesta automática, más que una medida de seguridad es un modo de poner en conocimiento a los implicados de la situación, con objeto de informar; ahora bien, si que es conveniente que en periodos prolongados de ausencia, se limiten los accesos de los usuarios, ya que si no se van a utilizar, es más seguro evitar la posibilidad de que terceros utilicen el usuario y contraseña de una persona que no va a poder verificar su uso.

Aunque parezca una obviedad, es muy común en las empresas que se produzca una ausencia prolongada y que no se informe al Dpto. de Sistemas, cuestión que se puede solucionar fácilmente.

 ¿Quién debería ser la persona responsable de autorizar y realizar las transferencias de los activos de la empresa?

La respuesta es compleja, ya que cada despacho tiene su propio control de la información. En mi opinión, la figura del responsable de la información, debería ser la persona que en última instancia autorice cualquier aspecto relativo a la seguridad de la misma.

¿Cuantas auditorias de información se deberían pasar?

La respuesta está más vinculada a los riesgos reales sobre la información que tiene un despacho, al valor de esa información y sobre todo, a la exposición de esta despacho en el gran sistema abierto que es internet.

Como mínimo, debería realizarse una auditoria de seguridad cada año, aunque se puede realizar una auditoria cada dos años en ciertos casos, creo que la evolución de las vulnerabilidades y del uso de la información, ha aumentado significativamente los riesgos. Esperar varios años, implica que no se puede comprobar si la despacho se ha actualizado a los nuevos riesgos surgidos en ese período.

Este interesante artículo ha sido escrito por José Luis García Recio para itlegal.es. José Luis es consultor de seguridad e innovación para varias compañías y despachos. Podéis visitar su perfil de linkedin en el siguiente enlace. https://www.linkedin.com/in/jose-luis-g-4401012/