Datos. Seguridad en reposo. Riesgos y mejores prácticas.

Hay momentos del año en el que la actividad empresarial se reduce a niveles mínimos. Si bien es cierto que la ausencia de los usuarios hace que nuestros datos están un poquito más seguros, también sabemos que los ciberdelincuentes no bajan el ritmo en ningún momento del año. Alojemos el dato on-Premise, nube privada o pública, son igualmente su objetivo. Sin embargo, esta diversidad de plataformas significa un aumento de la superficie de ataque para el área de ciberseguridad.

Inherente al nacimiento del dato, nace la necesidad de la seguridad en el almacenamiento de datos; con esto, nos referimos hoy a las medidas de seguridad que toman las organizaciones para evitar el acceso no autorizado de terceros, los ataques maliciosos y la explotación de datos almacenados.

De normas y marcos en la protección del dato

De cara a homogeneizar y establecer unos parámetros mínimos orientados a la protección de los sistemas de las organizaciones y, por tanto, la protección del dato, se han establecido diversas normas. Todos somos parte de una cadena de suministros, todos tenemos clientes y proveedores y bien sabemos aquello del eslabón más débil, ¿verdad?

Estos marcos y normas se refieren a la forma en que una empresa sigue las reglas, regulaciones y estándares de la industria con respecto al almacenamiento de sus datos para mantener la seguridad, privacidad e integridad de estos, al tiempo que mitiga los riesgos. El cumplimiento permite a las organizaciones adecuarse a los requisitos de privacidad y mantener políticas adecuadas de preservación y eliminación de datos.

La principales normas y marcos que afectan a las organizaciones a nivel nacional y europeo en materia de protección del dato son:

• ISOs 27001 y 27701. La ISO 27001, es la principal norma internacional en para los SGSI (Sistemas de Gestión de la Seguridad de la Información). Mediante esta norma, mostramos la postura en materia de seguridad de la organización ante clientes y proveedores. Con la ISO 27701, llevamos a cabo un refuerzo en las medidas de protección del dato, facilitando a la organización el cumplimiento de regulaciones varias a nivel internacional en materia de protección del dato de consumidores y usuarios.
• Reglamento de Protección de Datos. Norma legislativa que aplica a las organizaciones europeas o que gestionan información personal de ciudadanos de la Unión Europea. Incluyen una serie de medidas estrictas cuyo incumplimiento conllevan sanciones.
• Muy similar al Reglamento GDRP en su base y ámbito de aplicación, aunque está orientada hacia el sector bancario y asegurador. También conlleva sanciones su falta de cumplimiento.
• Directiva NIS2. Recientemene actualizada, se refiere tanto a los SGSI (sistemas de información) como redes. Amplía los requisitos esenciales en materia de ciberseguridad a sectores estratégicos para el ciudadano.
• Esquema Nacional de Seguridad. Marco obligatorio para las empresas que trabajamos para la Administración Pública española.
• Marcos del NIST (National Institute of Standards and Technology): Este organismo proporciona marcos integrales con vista a mejorar la ciberseguridad de las infraestructuras críticas, que también pueden ser aplicables a las estrategias de almacenamiento.

Retos de la seguridad en almacenamiento de datos

Podemos resumir en estos seis puntos los retos clave que avalan la necesidad de una estrategia robusta en ciberseguridad:

1. Rápido crecimiento de los datos. En la medida que el volumen de datos crece más complejo es administrarlos y protegerlos. Y más desde la llegada de las IAs aplicadas al entorno empresarial.
2. Brechas de datos y ciberataques: Los ciberdelincuentes desarrollan constantemente nuevas técnicas para violar los sistemas de almacenamiento de datos, como malware, ransomware y esquemas de phishing. También las amenazas internas, como los empleados o colaboradores externos con acceso a información confidencial, pueden plantear riesgos significativos debido al uso indebido de datos o la divulgación accidental.
3. Cumplimiento normativo: Los principales marcos de adecuación recomendados o normas obligatorias según el sector o tipología de la organización, ya vistas, condicionan enormemente la estrategia de ciberseguridad.
4. Control de acceso y gestión de identidades: El control de acceso y la identidad es un componente clave, pero también un desafío para la seguridad de los datos, ya que garantiza que solo las personas autorizadas puedan acceder y trabajar con los datos, protegerse contra amenazas internas y externas, cumplir con los requisitos legales y mejorar la postura de seguridad de la organización.
5. Integridad y disponibilidad de los datos: Preservar la integridad de los datos y asegurarse de que no se pierdan o corrompan durante su transporte y almacenamiento es un desafío continuo para la seguridad del almacenamiento de datos.
6. La configuración real de los entornos OnPrem y Cloud: Las configuraciones incorrectas pueden dar lugar a importantes violaciones de datos, lo que pone de manifiesto la importancia de una gestión diligente de la configuración.

Principales riesgos en la seguridad del almacenamiento del dato

Algunos riesgos actuales que afectan a la seguridad e infraestructura del almacenamiento de datos son:

• Ciberataques
• Fuga y/o brechas de datos
• Configuraciones incorrectas y accesos no autorizados
• Amenazas internas
• Responsabilidades derivadas por incumplimiento normativo
• Corrupción, modificación y destrucción de datos

Y de base sobre todos ellos tenemos el factor humano. Más de la mitad de los ataques incluyen en su estrategia la técnica BEC (Business Email Compromise) empleando ingeniería social, que pone de manifiesto los riegos de la interacción humana con la tecnología y hace hincapié en que los humanos son el eslabón más débil de la ciberseguridad tanto en IT como OT.

Vulnerabilidades en la seguridad del almacenamiento de datos

La seguridad del almacenamiento de datos requiere reconocer las debilidades inherentes a los sistemas de almacenamiento y mitigar los riesgos relacionados con estas, al tiempo que se mantienen los datos seguros, accesibles y disponibles:

Almacenamiento criptográfico inseguro

Algunos sistemas de almacenamiento pueden tener un cifrado débil o directamente inexistente. Esto implica la instalación de un software adicional para garantizar que sus datos estén cifrados. Los métodos obsoletos o una gestión incorrecta de las claves de cifrado pueden hacerlo ineficaz.

Vulnerabilidades físicas

Debemos tener presente el acceso físico al almacenamiento, ya sea por robo o pérdida del dispositivo portátil, o el acceso no autorizado a los bancos de datos por parte de usuarios internos, eludiendo las medidas de seguridad basadas en la red.

Problemas de seguridad del almacenamiento en la nube

Tanto en nube privada como pública las organizaciones precisan desplegar una estrategia especialmente adaptada, mediante herramientas y procedimientos para garantizar que los datos estén adecuadamente seguros.

Recomendaciones y mejores prácticas

El almacenamiento debe ser entendido como el lugar donde residen los datos. Con un número cada vez mayor de organizaciones que adoptan soluciones de almacenamiento de AWS S3, OneDrive, Microsoft Azure y otras plataformas locales y en nube, es imperativo aplicar políticas de seguridad de almacenamiento sólidas para evitar el acceso no deseado a los datos y los sistemas de almacenamiento.

Entre las medidas posibles proponemos las siguientes:

• Revisar regularmente los permisos de acceso de los usuarios: Una estrategia de mínimo privilegio garantiza que los usuarios solo tengan acceso a la información necesaria para sus funciones, reduciendo el riesgo de amenazas internas. Los controles de acceso deben ser estrictos y actualizarse periódicamente para reflejar los cambios en las funciones y responsabilidades.
• Realizar una auditoría continua y revisión de los registros de acceso a los datos: Identificar de manera clara quién accede a los documentos y cuándo lo hace proporciona información valiosa para identificar actividades sospechosas. La auditoría regular de estos registros ayuda a detectar anomalías a tiempo y puede contribuir a una respuesta rápida ante posibles infracciones.
• Cifrar los ficheros: La encriptación proporciona una sólida capa de seguridad. Utilizar estándares de cifrado avanzados garantiza la seguridad del dato ante una brecha en nuestros sistemas. Un cifrado automático del dato sensible y de clave fraccionada  consigue una seguridad casi absoluta.
• Aplicar políticas de seguridad persistentes: Las políticas de seguridad que siguen a los datos -independientemente de dónde se muevan o se almacenen- ofrecen una protección continua incluso más allá del repositorio.
• Garantizar la disponibilidad del dato mediante soluciones seguras de respaldo: Las copias de seguridad seguras (regla 3-2-1) y cifradas protegen contra la pérdida de datos frente a cualquier incidente.  Las copias de seguridad evaluadas periódicamente garantizan que los documentos críticos puedan recuperarse rápidamente, manteniendo la continuidad de la empresa.

Cómo te ayudamos desde MICROMOUSE

En MICROMOUSE contamos con soluciones tecnológicas avanzadas que nos permiten atender los requisitos de las estrategias en materia de ciberseguridad más exquisitas. Soluciones adaptables a cualquier sector, volumen de usuarios y datos, y sobre todo confiables.