16 Abr Control 7.10: Gestión de soportes de almacenamiento en ciberseguridad
La gestión de los soportes de almacenamiento es un aspecto clave dentro de la seguridad de la información. Dispositivos como memorias USB, discos duros externos, tarjetas de memoria o incluso medios más tradicionales como CD y DVD pueden representar un riesgo importante si no se controlan adecuadamente.
¿Por qué es importante este control?
El control 7.10 se centra en proteger la información almacenada en dispositivos que pueden extraerse y transportarse fácilmente. Su principal riesgo radica en que pueden perderse, ser robados o utilizados sin autorización, lo que podría provocar la exposición de datos sensibles.
Por este motivo, las organizaciones deben establecer medidas que garanticen un uso seguro de estos soportes a lo largo de todo su ciclo de vida.
Uso responsable de dispositivos extraíbles
Antes de permitir el uso de soportes de almacenamiento extraíbles, es recomendable cuestionar si realmente son necesarios. En muchos casos, existen alternativas más seguras, como el almacenamiento en la nube o plataformas internas de intercambio de información.
Cuando su uso sea inevitable, es fundamental aplicar medidas de protección como el cifrado de la información. Esto asegura que, incluso si el dispositivo se pierde, los datos no puedan ser accesibles por terceros.
Además, el uso de estos dispositivos debe alinearse con las políticas internas de la organización, especialmente en lo relativo a la clasificación de la información y los niveles de protección requeridos.
Riesgos durante el transporte
El transporte de soportes de almacenamiento incrementa el nivel de riesgo. Un dispositivo puede extraviarse fácilmente o ser sustraído sin que la organización lo detecte de inmediato.
Para mitigar estos riesgos, es importante aplicar medidas como la protección física del dispositivo, el uso de cifrado y la existencia de procedimientos claros para el traslado de información. Estas prácticas ayudan a reducir la probabilidad de accesos no autorizados durante el movimiento de los datos.
La importancia de la concienciación
Uno de los factores más críticos en este control es el comportamiento de los usuarios. La formación y concienciación del personal permite reducir significativamente los riesgos asociados al uso de soportes de almacenamiento.
Los empleados deben comprender qué tipo de información pueden almacenar, cómo proteger los dispositivos y qué hacer en caso de pérdida o incidente. Estas buenas prácticas deben formar parte de las políticas de uso aceptable de la organización.
Aplicación en empresas de desarrollo de software
La implementación de este control puede variar según el entorno tecnológico de la empresa.
En entornos basados en la nube (SaaS), el uso de dispositivos físicos suele ser menor. En estos casos, el enfoque se centra en evitar su uso innecesario y fomentar alternativas más seguras, como repositorios centralizados o sistemas controlados de transferencia de información. Aun así, es importante proteger los equipos de los desarrolladores, ya que pueden contener datos sensibles como código fuente o credenciales.
Por otro lado, en entornos on-premise, el uso de soportes físicos es más habitual, especialmente para copias de seguridad o transferencias entre sistemas. Aquí es necesario aplicar controles más estrictos, como el registro de uso, el control de accesos y la correcta eliminación de los dispositivos cuando dejan de ser necesarios.
Aplicación en pequeñas empresas
En pequeñas organizaciones, donde los recursos son más limitados, este control debe aplicarse de forma práctica y eficiente. No es necesario contar con políticas complejas, pero sí con normas claras.
Algunas buenas prácticas incluyen limitar el uso de dispositivos extraíbles a casos necesarios, utilizar cifrado en la información sensible, priorizar alternativas como la nube y eliminar de forma segura los dispositivos en desuso.
En estos entornos, la concienciación del personal cobra aún más importancia, ya que muchas de las medidas dependen directamente del comportamiento de los usuarios.
Conclusión
El control 7.10 no busca eliminar el uso de soportes de almacenamiento, sino gestionarlo de forma segura. A través de medidas técnicas, organizativas y de concienciación, es posible reducir significativamente los riesgos asociados.
En un contexto donde la información es uno de los activos más valiosos, proteger estos dispositivos es una responsabilidad clave para cualquier organización, independientemente de su tamaño o sector.