Almacenamiento en dispositivo extraíbles

Almacenamiento en dispositivos extraíbles

Antecedentes

Los dispositivos de almacenamiento extraíble (memorias USB, discos duros portátiles, tarjetas de memoria, CD, etc.) permiten una transferencia rápida y directa de información. Hoy en día son imprescindibles y muy utilizados. Debemos aplicar las medidas de seguridad que este tipo de dispositivos requieren por su susceptibilidad al robo, manipulación, extravío e infección por virus.
La empresa debe decidir si se permite el uso de dispositivos de almacenamiento externo, y de ser así, debe disponer de una normativa que contemple en qué situaciones pueden utilizarse y qué tipo de información se permite guardar en ellos.
Si se necesita almacenar información sensible o confidencial se utilizarán dispositivos externos corporativos debidamente protegidos, se almacenarán en lugares seguros y se informará al responsable si ocurre algún incidente (robo, pérdida, infección del dispositivo, etc.).
En el caso de que se permita el uso de dispositivos personales (dispositivos extraíbles propiedad del empleado) se aplicarán las normas de seguridad recogidas en la política correspondiente.
Para asegurar la información contenida en los dispositivos extraíbles tendremos que aplicar medidas de seguridad como: cifrar los datos almacenados, establecer permisos de acceso, cambiar periódicamente la contraseña, etc.
Otro de los aspectos importantes a tener en cuenta es la eliminación de la información almacenada. Para asegurar que estos datos no volverán a ser accesibles, debemos utilizar los métodos de borrado seguro: destrucción física del dispositivo, desmagnetización o sobre-escritura [2], según convenga en cada caso.
En definitiva, debemos aplicar las medidas de seguridad que este tipo de dispositivos requieren, así como concienciar a los empleados para su buen uso. De esta forma protegeremos tanto la información contenida en ellos como la de los dispositivos a los que se conectan.

Objetivos

Establecer unas normas de uso de los dispositivos extraíbles que garanticen la seguridad de la información corporativa que almacenan y la de los equipos a los que se conectan.

Puntos clave

Los puntos clave de esta política son:
  • Normativa de almacenamiento en dispositivos extraíbles. Si no disponemos aún de ella tendremos que elaborar una normativa que regule el uso de dispositivos extraíbles que incluya: 
    • llevar un registro de los dispositivos autorizados;  
    • definir en qué condiciones o casos se permite su uso; 
    • definir cómo se accede y si la información debe ir cifrada;,  
    • establecer las configuraciones de seguridad necesarias para poder utilizarlos, etc. 
  • Concienciación de los empleados. El robo o extravío, la manipulación, y la infección por virus de los dispositivos extraíbles son las causas más frecuentes por las que puede perderse la información contenida en ellos. Por eso es importante involucrar a los usuarios en la protección, vigilancia y buen uso de estos dispositivos, concienciándolos [9] de la trascendencia de la protección del mismo y de los datos que contiene.  
  • Alternativas a los medios de almacenamiento extraíble. Para evitar la necesidad del uso de estos soportes pueden implantarse las siguientes alternativas: 
    • utilizar repositorios comunes para el intercambio de información 
    • implantar la posibilidad de acceso remoto para poder trabajar desde fuera de la oficina
    • usar los servicios de almacenamiento en la nube autorizados por la organización 
  • Registro de usuarios y dispositivos. Tenemos que mantener un registro de dispositivos detallando los privilegios de acceso asignados a cada usuario que los necesite. 
  • Aplicar medidas técnicas para garantizar un almacenamiento seguro de la información. Estas medidas podrán aplicarse tanto sobre el dispositivo extraíble como sobre los dispositivos a los que se conecta o sobre los documentos. Por ejemplo: 
    • Sobre el dispositivo extraíble: 
      • Programar cambios periódicos de contraseña de acceso al dispositivo. 
    • Sobre los dispositivos a los que se conectan: 
      • Implementar mecanismos de autenticación de usuarios. 
      • Evitar que dispositivos no registrados puedan conectarse a cualquier equipo de la organización. 
      • Desactivar la opción de autoarranque en los equipos para no permitir posibles ejecuciones automáticas no deseadas cuando los dispositivos extraíbles son enchufados. 
      • Deshabilitar por defecto los puertos USB y habilitarlos para el personal que necesite dicha funcionalidad de manera periódica o gestione ficheros de gran tamaño. 
    • Sobre los documentos que se transfieren: 
      • Establecer control de accesos con permisos de lectura, escritura y ejecución. 
      • Implementar mecanismos de cifrado de la documentación. 
    • Cumplimiento de la normativa. Tendremos que comunicar esta normativa y asegurarnos de que los empleados la conocen y se comprometen a cumplirla antes de utilizar dispositivos extraíbles en el entorno de trabajo. 
 
 

¡¡¡ NO TE LA JUEGUES !!!

La máxima seguridad es tu comprensión de la realidad

Suscríbase

¡No te pierdas nuestras futuras actualizaciones! ¡Suscríbase hoy!

©2024 DEFENSA DIGITAL.Todos los derechos reservados.