Temas

Construcción de una Cultura de Seguridad
Cimientos Sólidos:
Protección de Cuentas y Dispositivos
Comunicar y Almacenar Datos de Manera Segura
Mantenerse Seguro en Internet
Proteger la Seguridad Física
Qué Hacer Cuando las Cosas Van Mal

Comunicar y almacenar los datos de manera segura

Almacenamiento Seguro de Datos

En la mayoría de los parlamentos, una de las decisiones más importantes que deben tomarse es dónde almacenar sus datos. ¿Es “más seguro” almacenar los datos en las computadoras del personal, en un servidor local, en dispositivos de almacenamiento externo o en la nube? En el 99 % de las situaciones, la opción más fácil y segura es mantener los datos en servicios de almacenamiento en la nube de confianza. Quizás los ejemplos más comunes son Microsoft 365 y Google Drive. Sin un plan integral de almacenamiento en la nube, es probable que los datos de su parlamento se almacenen en una variedad de lugares, incluidas las computadoras del personal y de los MP, discos rígidos externos e incluso algunos servidores locales. Aunque es posible proteger los datos en todos estos dispositivos, es muy difícil hacerlo con éxito sin gastar mucho dinero y contratar a personal importante de TI.

Almacenamiento de Datos y Parlamentos

Dos bancos largos de computadoras en una sala de servidores.

La llegada del almacenamiento de datos basado en la nube asequible (a veces gratuito) ha hecho la vida más fácil (y más segura) para muchos parlamentos y otras organizaciones. Por desgracia, muchos aún intentan alojar sus propios servidores con habilidades informáticas o soporte relativamente limitados. En marzo de 2021, la amenaza de esa infraestructura organizativa se volvió real para decenas de miles de organizaciones de todo el mundo, incluidos los parlamentos, cuando un actor de amenazas afiliado al Gobierno chino llamado Hafnium, desató una catástrofe de ciberseguridad mundial con un sofisticado ataque a servidores de Microsoft Exchange autoalojados. El ataque comprometió servidores locales, incluido el del parlamento de Noruega, lo que permitió a los piratas informáticos obtener acceso a las cuentas de correo electrónico del parlamento, instalar malware adicional en los servidores de la víctima y los sistemas conectados y, en última instancia, extraer datos delicados.

Aunque Microsoft publicó una rápida actualización e instrucciones para identificar y eliminar a los potenciales intrusos una vez que se hizo pública la piratería, muchas organizaciones de menor tamaño carecían de la capacidad informática para aplicar con rapidez las actualizaciones, lo que las dejó expuestas durante largo tiempo. El alcance y el impacto de este ataque global revelan el peligro de que los parlamentos y otras organizaciones decidan autoalojar servidores de correo electrónico y otros tipos de datos confidenciales, en particular sin una inversión significativa en personal especializado en ciberseguridad.

Beneficios del almacenamiento en la nube

Aunque tome todas las medidas adecuadas para proteger sus computadoras contra el malware y el robo físico, igual es posible que un adversario decidido piratee su computadora o servidor parlamentario local. Es mucho más difícil para ellos vencer las defensas de seguridad de, por ejemplo, Google o Microsoft. Las buenas empresas de almacenamiento en la nube cuentan con recursos de seguridad incomparables y tienen un fuerte incentivo comercial para ofrecer la máxima seguridad a sus usuarios. En resumen: una estrategia confiable de almacenamiento en la nube será mucho más fácil y menos costosa de implementar y mantener segura en el tiempo. Entonces, en lugar de tratar de identificar (y retener) la cantidad de personal de ciberseguridad especializado y con excelentes habilidades que se requiere para proteger los servidores locales en su parlamento, concentre su energía en un puñado de tareas más simples. Esas tareas incluyen elegir la opción de almacenamiento en la nube adecuada para sus necesidades de localización y privacidad de datos, implementar una buena seguridad de la cuenta, capacitar al personal para compartir en forma correcta (y no compartir) carpetas y documentos (en general, debería configurar carpetas dentro de su unidad de almacenamiento en la nube que limiten el acceso solo al personal que lo necesita para determinados archivos), y auditar en forma rutinaria su sistema para asegurarse de que el personal y los miembros no "comparten de más" ningún archivo (por ejemplo, al activar el uso compartido de enlaces universales para archivos que, en cambio, deberían limitarse a solo algunas personas).

Mantener la mayor parte de su información en la nube ayuda con una variedad de riesgos comunes. ¿Alguien ha olvidado su computadora o teléfono móvil en el autobús? ¿Su hijo ha volcado un vaso de zumo sobre su teclado, y dejó a su dispositivo inutilizable? ¿Necesita compartimentar datos que pertenecen a un MP en la información que genera para el propio parlamento? ¿Un empleado tiene malware en su computadora y necesita eliminarlo y empezar de cero? Si la mayoría de los documentos y datos están en la nube, es fácil volver a sincronizarlos y empezar de cero en una computadora limpia o completamente nueva. Además, si un malware entra en una computadora o si un ladrón escanea un disco duro, no hay nada que robar si se accede a la mayoría de los documentos a través del navegador web.

¿En verdad podemos confiar en el almacenamiento en la nube?

En resumen, no hay nada intrínsecamente poco confiable en el almacenamiento en la nube. Como ya se mencionó, la mayoría de los principales proveedores de almacenamiento en la nube tienen equipos de los mejores ingenieros de seguridad del mundo que trabajan para proteger sus productos todos los días y ofrecen soporte de seguridad a sus clientes más allá de lo que la mayoría de los departamentos de TI pequeños podrían proporcionar por sí mismos. Sin embargo, tenga en cuenta que los servicios tradicionales de almacenamiento en la nube en general requieren otorgar acceso a datos confidenciales a una empresa externa que brinda el servicio. Dicho esto, cada parlamento individual tendrá sus propias consideraciones políticas y requisitos legales (como mandatos de localización de datos) que hacer al elegir si puede confiar en un proveedor de almacenamiento en la nube determinado, y usarlo.

¿Qué proveedor de almacenamiento en la nube deberíamos elegir?

Si su parlamento no tiene que considerar ningún requisito de localización de datos y no tiene problemas con que una empresa externa de confianza comparta el acceso a los datos, las dos opciones de almacenamiento en la nube más populares son Google Workspace (antes conocido como GSuite) y Microsoft 365. Si su parlamento ya usa Gmail, tiene mucho sentido registrarse en Google Workspace y almacenar datos en Google Drive con sus aplicaciones integradas de Google Docs, Sheets y Slides para procesamiento de textos, hojas de cálculo y presentaciones de diapositivas. Del mismo modo, si su parlamento depende de Excel y Word, la opción más fácil es registrarse en Microsoft 365, que otorga acceso a Outlook para correo electrónico y versiones con licencia de Microsoft Word, Excel, PowerPoint y Teams.

¿Qué sucede si necesitamos controlar nuestros propios datos o cumplir con leyes de localización de datos?

Para muchos parlamentos, una opción tan simple podría no ser factible dados los requisitos de localización de datos o las expectativas específicas que requieren un control parlamentario exclusivo sobre sus propios datos. La buena noticia es que hace poco los proveedores de almacenamiento seguro en la nube desarrollaron opciones que permiten a los clientes empresariales elegir la ubicación de sus datos (tenga en cuenta que esto se limita principalmente a los clientes europeos por ahora), o controlar sus propias claves de cifrado. En la práctica, esto significa que su parlamento tiene opciones para controlar sus propios datos mientras se beneficia de la infraestructura y la seguridad del almacenamiento en la nube.

Si su parlamento utiliza en la actualidad Google Workspace para almacenar y compartir datos en la nube, o le interesa hacerlo, Google introdujo una función que permite el cifrado del lado del cliente para organizaciones Enterprise Plus. Si bien en el presente se encuentra en una fase de prueba y solo está disponible para los planes más costosos de Google Workspace, esta función brinda una opción para aprovechar el conjunto completo de funciones de almacenamiento y uso compartido de datos de Google Drive, y las funciones de seguridad integradas, al tiempo que limita la capacidad de Google para acceder a información confidencial o privada de su parlamento. Con el cifrado del lado del cliente, puede elegir integrar un servicio de administración de claves adicional, como Virtru, y permitir que los usuarios administren sus propias claves de cifrado sin permitir el acceso al mismo Google. Dicho servicio requiere que todos tengan mucho cuidado en proteger esas claves para proteger bien el acceso a cualquier sistema de administración de claves que elija integrar en Google Workspace. Los administradores de cuentas pueden saber más sobre cómo habilitar el cifrado del lado del cliente en la página de soporte de Google Workspace.

Si en su parlamento usan en la actualidad Microsoft 365 para almacenar y compartir datos en la nube, o les interesa hacerlo, ofrece una opción un poco más compleja pero bien establecida para administrar sus propias claves de cifrado conocida como Microsoft 365 Double Key Encryption. Para esta opción de seguridad se requiere Microsoft 365 E5, pero permite mantener el control de cualquier información parlamentaria confidencial o privada y limitar el acceso incluso al propio Microsoft.

Tresorit es otra opción más simple de implementar si a su parlamento le preocupa permitir que un tercero acceda a su información interna. Proporciona cifrado de extremo a extremo para almacenamiento en la nube y uso compartido de archivos, y ofrece una gama de opciones de residencia de datos.
 

Mejora de la Seguridad de las Cuentas Parlamentarias en la Nube

Si su parlamento elige configurar un dominio en Google Workspace o Microsoft 365, tenga en cuenta que ambas compañías ofrecen niveles más altos de seguridad a cuentas en riesgo. El Programa de Protección Avanzada de Google y AccountGuard de Microsoft proporcionan una seguridad aún más sólida a todas las cuentas en la nube de su organización, y lo ayudan a reducir en gran medida la probabilidad de que se produzca una suplantación de identidad eficaz y pongan en riesgo la cuenta. Si cree que su organización cumple los requisitos y le interesa inscribir a su parlamento en cualquiera de los dos planes, visite los sitios web con los enlaces mencionados o póngase en contacto con [email protected] para obtener más ayuda.

¿Y si no podemos confiar en ninguna solución de almacenamiento en la nube?

Si elige ir por su cuenta y confiar en los servidores locales para almacenar los datos de su parlamento, es esencial que invierta una cantidad considerable de tiempo y recursos en fortalecer las defensas digitales de los dispositivos de su parlamento y asegurarse de que cuenten con la configuración, el cifrado y la protección correctos, y tengan seguridad física. Como ya se indicó, este enfoque requiere identificar, contratar y retener una cantidad de personal de ciberseguridad dedicado y altamente calificado para mantener la seguridad de su infraestructura de servidor local.

Copia de respaldo de datos

Ya sea que su parlamento almacene datos en dispositivos físicos y servidores o en la nube, es importante tener una copia de respaldo. Tenga en cuenta que si confía en el almacenamiento de un dispositivo físico, es bastante fácil perder el acceso a sus datos. Podría derramar café sobre su computadora y destruir el disco duro. Las computadoras del personal podrían ser pirateadas y todos los archivos locales bloqueados con un ransomware. Alguien podría perder un dispositivo en el tren o sufrir su robo junto con su maletín. Como se mencionó anteriormente, esta es otra razón por la que el uso del almacenamiento en la nube puede ser un beneficio, ya que no está atado a un dispositivo específico que puede ser infectado, robado o perderse. Las computadoras Mac vienen con un software de copia de seguridad integrado llamado Time Machine, que se utiliza junto con un dispositivo de almacenamiento externo; para los dispositivos de Windows, el Historial de Archivos ofrece una funcionalidad similar. Los teléfonos iPhone y Android pueden crear una copia de seguridad automática de sus contenidos más importantes en la nube si se activa en la configuración del teléfono.

Si su organización utiliza almacenamiento en la nube (como Google Drive), el riesgo de que derriben a Google o sus datos se destruyan en un desastre es bastante bajo, pero el error humano (como la eliminación accidental de archivos importantes) sigue siendo una posibilidad. Explorar una solución de copia de respaldo en la nube como Backupify o SpinOneBackup puede valer la pena.

Si los datos se almacenan en un servidor local o en dispositivos locales, una copia de seguridad segura es aún más importante. Puede hacer una copia de respaldo de los datos de su parlamento en un disco rígido externo o una serie de ellos, pero asegúrese de cifrarlas con una contraseña sólida. Time Machine puede cifrar los discos duros, o usted mismo puede utilizar herramientas de cifrado de confianza para todo el disco duro, como VeraCrypt o BitLocker. Asegúrese de mantener los dispositivos de copia de seguridad en un lugar separado de sus otros dispositivos y archivos. Recuerde que un incendio que destruya tanto sus computadoras como las copias de seguridad significa que no tiene ninguna copia de seguridad. Considere la posibilidad de guardar una copia en un lugar muy seguro, como una caja de seguridad.

Almacenamiento Seguro de Datos

  • Almacene los datos sensibles exclusivamente en un servicio confiable de almacenamiento en la nube.
    • Asegúrese de que cualquier cuenta conectada que se utilice para acceder a dicho servicio tenga contraseñas seguras y 2FA.
  • Establezca e implemente una política para limitar la configuración de uso compartido dentro de la nube.
    • Capacite a todos los miembros y al personal sobre cómo compartir documentos en forma correcta (y no compartir demasiado).
  • Si su parlamento elige almacenar datos localmente, invierta en personal de TI capacitado.
  • Mantenga las copias de respaldo de sus datos a salvo: realice el cifrado de los discos rígidos u otros dispositivos de respaldo.