Cómo Proteger la Integridad de la Información en tu Empresa

Los datos son el pilar fundamental para la toma de decisiones, así que la integridad de la información se ha convertido en un aspecto crítico para las empresas.

La integridad de los datos asegura que la información se mantenga completa, precisa y confiable a lo largo del tiempo, lo que es esencial para la confianza de los clientes, la toma de decisiones precisas y el cumplimiento de las regulaciones.

En este artículo, conocerás qué es la integridad de los datos, los principales incidentes que la alteran y 12 recomendaciones para protegerla.

Sigue leyendo para conocer como salvaguardar la solidez de la información. 💾🔒

Los Pilares de la Seguridad de la Información

La seguridad de la información se basa en tres pilares fundamentales: confidencialidad, disponibilidad e integridad. Estos elementos son esenciales para garantizar la protección adecuada de los datos tanto físicos como digitales. 

Entender su importancia y cómo protegerlos adecuadamente es vital para las empresas, en especial en un mundo digital cada vez más interconectado.

En este artículo abordaremos el tercer pilar: la integridad de la información.

¿Qué es la integridad de la información?

Significa asegurar que los datos se mantengan completos, precisos, coherentes y confiables. Garantizar la integridad es evitar que sean modificados, corrompidos o manipulados de manera indebida, no autorizada o accidental.

La integridad de la información se pone en riesgo por incidentes como:

• Accesos y manipulación no autorizados internos o externos: si personal interno o terceros no autorizados acceden a la información estos pueden alterar las bases de datos o hacer cambios maliciosos en documentos, registros o expedientes. Se da también con el acceso a espacios físicos de almacenamiento, como armarios o salas de archivos.
• Ataques cibernéticos: el malware y el ransomware, comúnmente ligados a la ingeniería social, pueden corromper los datos almacenados, causando su alteración o pérdida.
• Errores humanos: alteraciones accidentes de los datos como eliminar archivos importantes, modificar incorrectamente alguna información relevante o cometer algún error de transcripción.
• Fallos técnicos: fallas en los sistemas de hardware o software pueden generar errores en el procesamiento de los datos, afectando la integridad de la información. A menudo son fallos de almacenamiento, interrupciones de energía o errores en la transmisión de datos.
• Pérdida o daño: los expedientes en papel y medios de almacenamiento pueden extraviarse o dañarse en accidentes, desastres naturales, incendios, inundaciones e incluso por error humano, comprometiendo su integridad.
• Falta de seguimiento de cambios: los expedientes físicos suelen carecer de un registro de las modificaciones o alteraciones que se han hecho, dificultando la detección de cambios.

La mayoría de las pequeñas empresas tienen tanto información personal como de la empresa en los mismos dispositivos informáticos y electrónicos, esta costumbre los expone mucho más a los riesgos de integridad de la información en comparación con las empresas medianas y grandes que suelen tener políticas y costumbres más claras para separar dichos ámbitos y que administran de forma más estructurada la seguridad de su información.

Aquí hay algunos pasos prácticos que tú y tu personal pueden tomar para mejorar la protección en relación con la integridad de los datos, basados en la norma ISO 27001, especializada en la Seguridad de la Información.

Recomendaciones para proteger la integridad de la información

1. Haz una copia de seguridad de tus datos y comprueba que funciona

Haz una copia de seguridad de los datos con regularidad. Si utilizas dispositivos de almacenamiento externo, guárdalos en un lugar que no sea tu lugar de trabajo principal; cífralos y guárdalos bajo llave si es posible. De esa forma, si hay un robo, un incendio o una inundación, minimizarás el riesgo de perder los datos.

Recuerda además comprobar tu copia de seguridad. No querrás descubrir que no funcionó cuando más lo necesitas. Asegúrate de que tu copia de seguridad no esté conectada a su fuente de datos en vivo, para que ninguna actividad maliciosa la alcance.

2. Usa contraseñas seguras y autenticación multifactor

Asegúrate de usar contraseñas seguras en teléfonos inteligentes, computadoras portátiles, tabletas, cuentas de correo electrónico y cualquier otro dispositivo o cuenta donde se almacene información personal. Deben ser difíciles de adivinar. El Centro Nacional de Seguridad Cibernética de los Estados Unidos de América (NCSC-USA) recomienda usar tres palabras aleatoriamente.

Siempre que sea posible, debes considerar el uso de la autenticación multifactor. Esta es una medida de seguridad para garantizar que la persona adecuada acceda a los datos. Requiere al menos dos formas separadas de identificación antes de que se conceda el acceso. Por ejemplo, utiliza una contraseña y un código de un sólo uso que se envía por mensaje de texto.

3. Desconfía de los correos electrónicos de desconocidos

Tú y tu personal deben saber cómo detectar correos electrónicos sospechosos o al menos atípicos. Mantente atento a signos como mala gramática, demandas para que actúes con urgencia, malas noticias y solicitudes de pago. Los ataques por correo electrónico se están volviendo más sofisticados. Podría parecer que un correo electrónico de phishing proviene de una fuente que reconoces. Si no estás seguro, habla con el supuesto remitente. El NCSC-USA proporciona criterios útiles de aplicación de políticas y comportamientos, para ayudarte y a tu personal a reconocer correos electrónicos potencialmente maliciosos.

4. Instala y mantén actualizados los antivirus y antimalware

Si tú o tus colaboradores trabajan fuera de la oficina, asegúrate que sus dispositivos se mantengan seguros. El tipo de ataques más comunes son los de tipo phishing, que llegan vía correo electrónico comunicando cosas aparentemente atractivas financieramente o con ventajas interesantes. El software de antivirus protegerá los dispositivos contra este tipo de ataques.

5. Protege tus dispositivos cuando no los uses o los debas dejar desatendidos

Bloquea tu pantalla cuando estés temporalmente fuera de tu escritorio para evitar que otra persona acceda a tu computadora. No dejes tus dispositivos móviles desbloqueados, si tiene opción de seguridad biométrica, utilízala. En caso de que debas dejar tu dispositivo móvil, guárdalo en un lugar seguro, si es posible bajo llave, fuera de la vista y del acceso de cualquiera. Un consejo adicional es dejarlo en silencio y sin vibración para que nadie sepa que ahí hay un dispositivo.

6. Asegúrate de que tu conexión Wi-Fi es segura

El uso de Wi-Fi público o una conexión insegura pone en riesgo tus datos personales y empresariales si en el mismo dispositivo atiendes ambos temas. Debes asegurarse de utilizar siempre una conexión segura cuando te conectes a Internet. Si estás usando una red pública, recuerda siempre usar una red privada virtual (VPN) segura.

7. Limita el acceso a quienes lo necesitan

Diferentes colaboradores pueden necesitar usar diferentes tipos de información. Instala controles de acceso para asegurarse de que las personas sólo puedan ver y modificar la información que necesitan. Por ejemplo, nómina o recursos humanos pueden necesitar ver la información personal de los trabajadores, pero su personal de ventas no tiene motivo para hacerlo.

Cuando alguien deje tu empresa, o si está ausente por un período prolongado, suspende su acceso a los sistemas.

Considera desarrollar tu Política de Seguridad de la Información para establecer un enfoque general para la seguridad de la información en tu empresa y comenzar a documentar las medidas de seguridad y políticas de control de acceso de los usuarios.

8. No conserves datos más tiempo del necesario

Deshacerse de los datos que ya no necesitas liberará espacio de almacenamiento. Esto también significa que tienes menos información en riesgo si sufres una violación a tu Sistema de Gestión de la Información.

9. Desecha los equipos y registros de TI antiguos de forma segura

Debes asegurarte de que no queden datos personales en las computadoras de sobremesa o de escritorio, portátiles, teléfonos inteligentes o cualquier otro dispositivo antes de deshacerte de ellos. Es conveniente que evalúes usar un software de eliminación o contratar a un especialista para borrar los datos antes de desechar tu equipo. De esta forma evitas que se filtren datos de acceso o se expongan registros de datos.

10. Realiza una validación de la integridad basada en riesgos

Valida sólo los sistemas que forman parte del cumplimiento de tu Sistema de Gestión de Seguridad de la Información (SGSI). Asegúrate de que las políticas, procesos y procedimientos evalúan la calidad y la confiabilidad de los datos.

Ten en cuenta todas las ubicaciones de almacenamiento de datos electrónicos y físicos, incluidas las impresiones y los informes en PDF.

Asegúrate de que tu SGSI define la frecuencia de auditorías de seguridad, las funciones y las responsabilidades tanto del Comisario de Seguridad como del resto del personal y que incluya una programación de evaluaciones periódicas de riesgos después de la evaluación inicial. Sigue estas recomendaciones para definir un buen SGSI.

11. Controla los cambios en tus sistemas e infraestructura informática

Asegúrate de que las actualizaciones de software queden debidamente registradas e instaladas, así como mantén tus documentos de versiones actualizados.

Exige a tus proveedores que te mantengan informado sobre los cambios y actualizaciones de tus sistemas en los que ellos tengan algún tipo de actividad o responsabilidad. Y de igual forma infórmales a ellos cuando tú hagas cambio en esos equipos.

Selecciona sistemas que sean fáciles de actualizar al agregar nuevo hardware u otras entradas de sistema.

12. Plan para la Continuidad del Negocio

Asegúrate de que la planificación de recuperación ante desastres esté disponible, actualizada y comprendida por las personas que te ayudarán al restablecimiento de tu sistema de información en caso de un desastre informático.

Tu plan debe indicar qué tan rápido se pueden restaurar las funciones, así como el impacto probable de cualquier pérdida o alteración de datos.

Busca software y sistemas que puedan registrar y almacenar datos de forma redundante para protegerlos durante los cortes de energía o el tiempo de inactividad de la red.

Emplea soluciones como UPS (Uninterruptible Power Suppy), servidores independientes alimentadas por batería o dispositivos que pueden cambiar a una fuente de alimentación alternativa cuando sea necesario.

¿Sabes qué está poniendo en riesgo la integridad de tu información?

Evalúa los riesgos para la integridad de los datos en tu empresa, arma una estrategia para protegerlos y capacita a tu personal para que tomen las decisiones correctas en cuanto a seguridad de la información.

Los datos saludables e íntegros pueden ahorrarte una fortuna y mucha energía al garantizar su uso seguro en el día a día para la toma de decisiones y para brindar los servicios de tu empresa de forma confiable y continuada.

Recuerda que este aspecto de la seguridad va de la mano con la confidencialidad y la disponibilidad de la información, pilares en los que se basa todo Sistema de Gestión de Seguridad de la Información.

Si la seguridad de la información en tu empresa es un tema que te preocupa o que deseas reforzar y garantizar, te recomiendo que consideres certificar a tu empresa en ISO 27001.