Inicio > Blog > Un enfoque sencillo para proteger su información: Parte 2

Un enfoque sencillo para proteger su información: Parte 2

Introducción

En la primera parte de nuestra serie sobre seguridad de la información, planteamos la pregunta:

  1. ¿Cuál es su información más valiosa y sensible?

En esta segunda parte, te planteamos el siguiente paso a considerar:

  1. ¿Dónde está esta información?

La seguridad de la información es una disciplina defensiva; sin embargo, también es inherentemente contradictorio. Por ello, es vital tener en cuenta el punto de vista del atacante. El éxito de un adversario sólo puede ocurrir en lugares específicos. Por ejemplo, si se encuentra información valiosa y confidencial en un servicio en la nube y en los dispositivos de usuario asociados, pero el adversario solo ha comprometido un dispositivo específico que no tiene (y no puede) acceder a la información, entonces no tendrán éxito.

Por lo tanto, debe proteger la información en todos los lugares donde se encuentre y en una amplia variedad de formas, incluidas las impresas, digitales y mentales.

Formularios

Debe considerar las formas que adopta su información antes de mirar la ubicación de cada una. En el mundo moderno, la información en formato digital es la norma; sin embargo, la propensión a las representaciones digitales de información no debe significar que se pase por alto la seguridad de otras formas.

Recuerde, sus adversarios buscarán comprometer su información de diversas formas; a menudo probarán primero las formas más simples, baratas y confiables. Por ejemplo, si descarta una copia impresa de un documento, buscar en su basura les permitirá lograr sus objetivos sin tener que gastar el esfuerzo de comprometer ningún sistema. Interrogar a personas con conocimiento de la información será igualmente efectivo. Una vez más, se trata de considerar el punto de vista del adversario en lugar de confiar únicamente en una postura defensiva.

Generalmente es bastante obvio dónde se ubica la información en forma física. Por el contrario, el ámbito digital es complejo y opaco. Muchos expertos en tecnología con experiencia desconocen la complejidad subyacente de muchos sistemas y las copias adicionales que se crean al utilizarlos. Esta duplicación generalmente se considera algo positivo en lo que respecta a la funcionalidad, pero es un gran desafío en lo que respecta a la seguridad. Estas copias múltiples deben considerarse junto con representaciones digitales más obvias de su información.

Estados

La complejidad de la información digital se ve agravada por el hecho de que los datos también pueden estar en uno de tres estados:

  • En reposo: En un dispositivo apagado.
  • En uso: En un dispositivo encendido.
  • En movimiento: Ser transferido entre dos dispositivos.

Esto no es académico; Es absolutamente vital que comprenda la distinción entre el primer y el segundo elemento. Por ejemplo. Muchos servicios en la nube anunciarán el cifrado en reposo. Esto implica que la información está cifrada por parte del proveedor de servicios (y los usuarios a menudo la confunden con cifrado de extremo a extremo). Sin embargo, este sólo es el caso si sus sistemas están apagados y los datos están en reposo. Las afirmaciones adicionales de disponibilidad del servicio (o tiempo de actividad) cercano al 100% significan que sus datos no estarán en reposo sino en uso (y, por lo tanto, no cifrados) casi todo el tiempo.

Ubicación

Además de los estados, una distinción adicional con respecto a la información digital es la ubicación:

  • Interna: En dispositivos que usted o la organización poseen y controlan.
  • Servicios: Dispositivos propiedad de un tercero pero parcialmente bajo su control.
  • Externo: En dispositivos sobre los que usted o la organización no tienen control.

Si bien es posible que tenga cierto control sobre los dispositivos y servicios internos que utiliza, su información puede existir en numerosos dispositivos externos sobre los que no tiene control. Los dispositivos externos incluyen dispositivos personales, dispositivos pertenecientes a aquellos con quienes comparte datos y con quienes se comunica, y los servicios utilizados por estos dispositivos. Es fundamental que determine si sus datos valiosos o confidenciales se encuentran en algún dispositivo externo, ya que es posible que no pueda hacer nada al respecto ahora. La mejor opción aquí es la prevención.

Conclusión

Ahora debería estar en condiciones de responder las siguientes preguntas:

  1. ¿Cuál es su información más valiosa y sensible?
  2. ¿Dónde se encuentra en todas las formas y estados?

Si no puede localizar su información más valiosa y confidencial, no puede esperar protegerla. Esto se debe a que los adversarios buscarán en muchos lugares hasta encontrarlo. Pueden recopilar información de otros, proveedores de servicios o incluso motores de búsqueda para ver si ya tienen o pueden encontrar fácilmente lo que buscan.

En el próximo artículo, examinaremos algunas medidas de seguridad simples pero muy efectivas. El primero es reducir el número de copias de la información y el momento en que podría ser vulnerable. Esto tiene dos beneficios cruciales:

  1. Proporciona menos oportunidades para que el adversario tenga éxito.
  2. Puede reducir la amplitud y profundidad de las otras medidas de seguridad requeridas.

El segundo beneficio es clave, ya que puede convertir una tarea imposible en una factible, incluso con recursos limitados. También proporciona simplicidad, que es la mejor amiga de la seguridad.

¡Estamos contratando consultores de seguridad de la información! Más información.