Popular channels

Seguridad en datos: 6 Consejos empresariales

Toda persona emprendedora que arranque con un proyecto, no puede dejar de tener en vista la seguridad en datos. Seas una empresa chica o grande, es importante darle la mayor seriedad al tratado de los mismos.

Que dice INTERNET:

“LAS POLÍTICAS DE SEGURIDAD SON DOCUMENTOS QUE CONSTITUYEN LA BASE DEL ENTORNO DE SEGURIDAD DE UNA EMPRESA Y DEBEN DEFINIR LAS RESPONSABILIDADES, LOS REQUISITOS DE SEGURIDAD, LAS FUNCIONES, Y LAS NORMAS A SEGUIR POR LOS EMPLEADOS DE LA EMPRESA”

Cual es la REALIDAD:

“ MAS DEL 60% DE LAS GRANDES EMPRESAS, NO CUENTAN CON UN PLAN DE CONTINGENCIA NI NORMAS, ANTE UN ATAQUE DE DOS”

Utilizando políticas de seguridad, recuerdo que cuando entré a trabajar en una empresa grande lo primero que recibí fueron dos documentos: “Manual de normas y procedimientos” y el otro “Manual de procedimientos, política de privacidad”.

En ellos se detallaba la protección de los datos personales de acuerdo a la ley de 25.326. Y detallaba los siguiente:


  • Datos personales
  • Datos sensibles
  • Archivo, Registro, Base o Banco de datos.
  • Tratamiento de Datos.
  • Responsable de archivo, Registro, Base o Banco de Datos.
  • Datos informatizados.
  • Titular de los datos.
  • Usuario de datos.
  • Disociación de datos.
Se hace un énfasis en la seguridad, y en las medidas de nivel básico aplicadas a estos, como registro de incidentes, procedimientos para efectuar copias de seguridad, planes de contingencia, etc.

Ahora volviendo a la seguridad, son 6 puntos importantes a debatir que me parecen muy interesantes. A saber:

Seguridad en datos

Que haya responsables en el área de desarrollo, implementación y gestión de la política a imponer
En primer lugar, para estar dentro del marco de la Ley, el titulas responsable de una archivo de datos, debe inscribirse en el Registro Nacional de Bases de Datos, implementado por la Dirección Nacional de Protección de Datos Personales, (DNPDP), a través de la Disposición DNPDP Nº2/05.
Es dicha disposición se aprobó también el formulario de inscripción general FA.01 y se brinda un instructivo completo de como debe completarse dicho formulario.
Esto implica varios puntos:
*Los datos personales que se colecten no deben ser excesivos con respecto al ámbito para el que serán obtenidos. Se debe tratar de no solicitar datos innecesarios. Los Datos Personales no pueden ser utilizados para fines diferentes para que los que fueron recolectados. Es importante mantener lo más actualizado posible los Datos Personales en la base de datos de clientes, proveedores, trabajadores, y videovigilancia. Para evitar reclamos por parte de los titulares de los datos en este sentidos, la empresa deberá efectuar semestralmente un proceso de actualización automático de datos, como ser enviar un mail al titular solicitando confirme o corrija los datos actuales

Proteger equipos y dispositivos en uso
Esta medida es importantísima, porque para proteger equipos y dispositivos se deben generar políticas de uso de ordenadores, es decir, por ejemplo bloquear puertos USB, como detalla Kevin Mitnick, en su famoso libro el “Arte de la Intrusión”.
También es importante tener actualizados estos sistemas con los parches de seguridad, en el caso de Software propietarios, tener las versiones legales y lo más actualizado posible, en el caso de software libre, como puede ser Ubuntu, solamente permitir updates de repositorios oficiales, y sobre todo LTS.
Proteger la red
Este punto es crucial, ya que no basta con instalar firewalls, IPS, IDS, debe haber un control estricto en las máquinas de los usuarios, porque hay casos de “trabajadores” enojados que implantan Troyanos con el fin de hacer maldad. Y no solo eso, puede haber casos en donde el usuario lo hace de manera ignorante, como cuando se infiltro el virus LOCKY, que encriptaba archivos y pedía rescate, por suerte gracias a la política de seguridad, se vió afectado un sector de la empresa y no su totalidad. Cada sector de la empresa tiene acceso solo a una parte, y no más.
Proteger los servidores
Una buena medida para proteger estos servidores es contratar gente capacitada para realizar este mantenimiento, y una vez por año realizar pruebas de penetración, para luego aplicar los parches y corregir esos bugs que permiten una intrusión.
Pero no termina ahi, otra buena medida es tener elaborado un buen plan de contingencia, como tienen los militares, que viven preparándose para una guerra, se levantan y se acuestan pensando en un ataque. Cuando estaba en el ejercito, y entraba de guardia, cada dos horas hacíamos de manera sorpresiva un “ataque a la guardia”, ahi se veía realmente si el plan elaborado tenía el efecto deseado.
Proteger los datos
En este punto es crucial tener alguna medida de seguridad avanzada, ya sea por encriptación, o aislar completamente un servidor de resguardo, dentro o fuera del edificio.
La persona responsable, tiene que tener muy en claro que los datos que maneja son sensibles e importante, y debe cumplir su trabajo con responsabilidad y seriedad, obviamente se debe auditar a esta persona periódicamente, para evitar los vicios de los trabajos.
Protección de las aplicaciones y recursos
Implementar medidas de roles, para evitar que cualquier usuario pueda instalar programas o meter mano sin conocimientos. Mantener actualizado siempre los parches de seguridad, y poder de manera rápida aislar la computadora afectada.
Para debatir: ¿Conocés alguna otra medida importante para aplicar a la seguridad en datos?


Fuente: https://www.blogicos.com/2016/08/07/seguridad-en-datos/
0
0
0
0No comments yet