Checklist para la seguridad en el almacenamiento en redes compartidas

Un blog editado por ISOTools Excellence

SGSI

Blog especializado en Sistemas de Gestión
de Seguridad de la Información

cerrojo

Checklist para la seguridad en el almacenamiento en redes compartidas

Checklist para la seguridad en el almacenamiento en redes compartidas

Seguridad en las redes compartidas

Seguridad en el almacenamiento en redes compartidas

Ahora más que nunca debemos estar preparados para situaciones de inestabilidad, hay que prever en disponer un lugar de trabajo común con un nivel alto de seguridad en el almacenamiento en redes compartidas, en el cual almacenar los trabajos individuales de cada uno de los trabajadores y poder compartir dicha información a diferentes usuarios de la empresa. Esto es posible utilizando servidores de almacenamiento en red, o también denominados cloud red corporativa.

Las empresas que necesitan almacenar gran cantidad de información utilizarán los sistemas de almacenamiento del tipo NAS (Network Attached Storage), para aquellos archivos compartidos, o SAN (Storage Area Network) de alta velocidad para bases de datos de aplicaciones. Se utilizan este tipo de sistemas ya que presentan un volumen de almacenamiento superior al resto, utilizan la capacidad de múltiples discos duros en la red local como un volumen único de almacenamiento. 

La información almacenada en estos sistemas ha de ser determinada a través de una Política de clasificación de la información que ha de cubrir como mínimo los siguientes aspectos: tipo de información almacenada, momento de su almacenamiento, ubicación dentro de los directorios del sistema. Además de esto tenemos que tener en cuenta qué personas son las responsables de la actualización de dicha información en el caso de modificación. Una parte fundamental para la seguridad en el almacenamiento en redes compartidas es la clasificación de cierta información como confidencial, crítica o si debe estar sujeta a algún requisito legal.

El objetivo del almacenamiento en red es conseguir que todos los trabajadores tengan acceso remoto a la información necesaria para un buen desempeño de su trabajo, con un almacenamiento centralizado para evitar duplicaciones y problemas en versiones, prevenir pérdidas de documentos, centralización de copias de seguridad, etc. 

Niveles de complejidad

A – Avanzado: Los recursos necesarios para la implementación y el esfuerzo que nos obliga a hacer son de consideración. Para ello, es necesario la utilización de programas informáticos que requieren configuraciones avanzadas. 

B- Básico: Los recursos necesarios para la implementación y el esfuerzo que nos obliga a hacer son asumibles para la mayor parte de las organizaciones. Su aplicación puede ser a través de funcionalidades sencillas incorporadas en aplicaciones comunes. Su prevención viene dada con el uso de herramientas de seguridad elementales como pueden ser: software de antivirus, cifrado de punto final o End point disk encryption, servidor proxy, firewall perimetral de red, escáner de vulnerabilidades, etc.

Para conocer el alcance de cada uno de los controles debemos tener en cuenta tres tipos: 

  • Procesos (PRO): se aplica en los  niveles superiores de la empresa: dirección o personal de gestión. 
  • Tecnología (TEC): se aplica a los especialistas tecnológicos de la empresa. 
  • Personas (PER): se aplica a todo el personal de la organización sin tener en cuenta en qué nivel se encuentran.

Controles de seguridad

Avanzado

  • Control de acceso (PRO/TEC). Es fundamental para establecer las reglas de acceso, así nos permite llevar un control de quién tiene acceso y a que directorios. 
  • Copias de seguridad (PRO/TEC). Para proteger dicha información debemos elaborar un plan de copias de seguridad que nos permita recuperar la información almacenada de forma rápida y segura. 
  • Acceso limitado (TEC). Para reducir el número de usuarios con acceso a dicha información es recomendable establecerlo sólo a los empleados esenciales para el desempeño de su trabajo.
  • Almacenamiento clasificado (TEC). Con la finalidad de la correcta clasificación de los datos y el acceso de manera intuitiva por los empleados de la organización se crean carpetas para un correcto almacenamiento de documentación. Como hemos mencionado en el apartado anterior es imprescindible asignar los permisos de acceso pertinentes según el perfil de empleado.
  • Auditoría de servidores (TEC). El buen funcionamiento de las herramientas es necesario revisar de forma periódica el estado de los servidores de la organización, como puede ser: capacidad, registros, estadísticas de uso, etc.
  • Cifrado de la información (TEC/PER). Información crítica almacenada en los servidores.

Básico

  • Inventario de los servidores de almacenamiento (PRO). El responsable debe poner en conocimiento de los empleados cuáles son los servidores utilizados para el almacenamiento de la red corporativa, la información que se comparte, y dependiendo de la clasificación de la información donde almacenarlos. Para un buen uso se tiene que reflejar en la formación de los empleados y hacer ciertos recordatorios cada periodo establecido de tiempo. 
  • Criterios de almacenamiento (PRO). Para establecer qué información almacenar y cual no, debemos elaborar una normativa que establezca qué información o no se debe almacenar en estos directorios; las personas que tienen acceso a dicha información y si son encargadas de actualizarlas en el caso de que lo necesite.
  • Clasificación de la información (PRO). Para una correcta clasificación el empleado deberá ser consciente de la Política de clasificación de la información para cuando tenga que almacenarla o eliminar información se haga de una forma correcta y segura. 

Software para Seguridad de la Información

El Software ISO 27001 para la Seguridad de la Información está creado para mantener los datos almacenados de forma segura, evitando ciberataques que pongan en riesgo la información de la organización.

Seguridad de la información
1 Star2 Stars3 Stars4 Stars5 Stars (No Ratings Yet)
Cargando...