Norentzat da?
Segurtasun-gertaerak prebenitu nahi dituzten era guztietako erakunde publiko zein pribatuentzat (enpresa handi zein ertain eta txikientzat). Helburua da beren burua babestea, beren jardueran eragina izan eta, ondorioz, kalte ekonomikoak, ospeari dagozkionak edo bestelakoak eragin ditzaketen gertaeren aurrean.
Zer da?
Informazioaren babesa kontzeptu zabala da eta informazioa seguru gordetzeko zaindu beharreko esparruak biltzen ditu.
Enpresen informazioak berebiziko garrantzia du, erakundearen kudeaketarekin edo ekoizpen-prozesuarekin berarekin zerikusia duten datuak gordetzen baititu. Horrela, bada, informazio hori babesteak erabateko lehentasuna izan behar du enpresarentzat. Era guztietako informazioak babestu behar dira: euskarri fisikoan daudenak, paperezko dokumentuak, gutunak, fakturak… bai eta euskarri digitaletan (zerbitzarietan, unitate ateragarrietan, ordenagailuetan edo hodeian) gordetakoak ere.
Informazio babesteko aintzat hartu beharreko eremuak
| Konfidentzialtasuna: | Informazioa eskuratzeko aukera informazio hori eskuratzeko baimena dutenei mugatzean datza. Konfidentzialtasuna urratuz gero, lehiarentzat oso erabilgarria den dokumentazioa atera liteke enpresatik. |
|---|---|
| Osotasuna: | Informazioa baimenik gabe aldatu ote duten jakiteko balio du. Osotasunaren aurkako eraso baten adibide bat: ransomware baten ondorioz fitxategiak zifratzea. |
| Eskuragarritasuna: | Informazioa eskuratzeko gaitasunarekin du zerikusia. Adibidez, zerbitzu-ukapena eragiteko erasoen ondorioz gerta daiteke informazioa eskuragarri ez egotea. Halakoetan, erasotzaileek baliabideak saturatu nahi izaten dituzte, erabilgarri egon ez daitezen. |
| Benetakotasuna: | Erakunde bat benetan dioen erakundea dela bermatzen du. Benetakotasun-eza gerta daiteke identitate-ordezte baten edo kredentzial-lapurreta baten ondorioz. |
| Trazabilitatea: | Prozesatutako informazioari dagokionez egiten diren ekintzak erregistratzen ditu. Trazabilitate-eza gertatzen da sistemen auditoretza-erregistrorik gordetzen ez denean, informazioa nork eskuratu duen jakitea galarazten baitu. |
Informazioaren babesa
Informazioa babesteko, lehenik eta behin sailkatu, datu-mota bakoitzari dagokion arriskua ebaluatu eta negozio-mota bakoitzera egokitu beharra dago.
Esate baterako, informazioa gordetzeko modua desberdina izango da ospitale bateko mediku-erregistroak, banketxe baten kreditu-txartelen eragiketak, oliobide bat bideratzeko planoak edo enpresa baten nominak diren.
Babestu beharreko informazioaren arriskuak eta kritikotasuna ebaluatzeko analisia egiteaz gain, legea ere kontuan hartu behar da, datu pertsonalak babesteko legea, adibidez.
Sailkapenen barruan, bestalde, zehaztu egin beharko da informazioa zenbateraino zabaldu daitekeen, hau da, publikoa den, barne-mailakoa edo isilpean gordetzekoa.
Sailkapena egin ondoren, ezarri beharreko babes-maila zehazteko garaian, horrek eskatzen duen kostua eta ahalegina ebaluatu behar dira.
Hori guztia aplikatzeko, informazioaren segurtasunarekin zerikusia duten erabakiak zentralizatzeaz, zehazteaz eta onartzeaz arduratzen den pertsona bat izendatu beharko da.
Oinarrizko babes-motak
Sarbideak kontrolatzea
Pribilegio txikienaren printzipioa da sarbideen kontrolaren oinarri garrantzitsuenetakoa. Alegia, informazio bakoitzerako sarbidea informazio hori eskuratzeko baimena duten erabiltzaileek izango dute soilik, eta sarbide hori dagokion informazio zehatzera mugatuko da. Erabiltzaileek ezin izango dute baimenduta dutenaz bestelako informaziorik eskuratu.
Lehen esan bezala, informazioa sailkatu egin beharko da eta ondoren erabaki zein erabiltzailek edo erabiltzaile-multzok eskura dezaketen.
Horretarako, zenbait kontrol tekniko aplikatu daitezke informazioa partekatzen duten sistemetan, erabiltzaileak identifikatu eta soilik baimenduta daukaten informazioa eskuratu ahal izan dezaten. Adibidez, partekatutako karpeten kasuan, erabiltzailea edo erabiltzaile-multzoa karpeta jakin batzuetan soilik sartu ahal izango da.
Sarean ere kontrolatu daiteke sarbidea, azken belaunaldiko suebakiak jarrita, sareen arteko edo Interneterako sarbidea kontrolatu eta mugatu ahal izateko. Horrela, ekoizpen-talde bat, adibidez, ezin izango da zuzendaritza-taldean sartu, eta nabigazioa kontrolatu egingo da webgune maltzurretarako sarbidea eragozteko. Telelanaren gorakadarekin batera gero eta ohikoagoak diren urruneko sarbideak ere kontrolatu daitezke, etxetik ari den erabiltzaileak soilik behar dituen baliabideak eskura ditzan.
Hori guztia karaktere askoz (letra larri eta xeheak, zenbakiak, ikurrak) osatutako kredentzial seguruak erabiliz egin behar da (aldian-aldian berritu beharrekoak).
Segurtasun-kopiak
Segurtasun-kopiak dira osotasun-eraso baten aurka babesteko tresna garrantzitsuenetakoa. Zenbait alderdi hartu behar dira kontuan hemen. Lehenago esan dugun moduan, informazioa sailkatu eta zeinen babeskopia egingo dugun erabaki ondoren, zenbait alderdi ebaluatu beharra dago: zer euskarri erabiliko den informazioa gordetzeko, babeskopiak zenbatean behin egingo ditugun, zenbat denboran gordeko ditugun eta non...
Babeskopiak egunero egin daitezke, adibidez, azken hogeita hamar eguneko informazioa disko batzuetan gordetzeko enpresan bertan, hilean behin beste kopia bat egin daiteke euskarri ateragarri batean azken hamabi hilabeteetako datuekin eta kopia hori enpresako kutxa seguru batean gordeko dugu eta, azkenik, urtean behin beste kopia bat egin eta zuzendari nagusiaren etxean gorde dezakegu.
Oso garrantzitsua da leheneratze-probak egitea aldiro-aldiro, babeskopiak ondo egiten ari garela egiaztatzeko.
Informazioa zifratzea
Mekanismo kriptografiko batzuk erabiliz, informazio irakurgarria ezkutatu egiten da zifratzearen bidez, eta gakoa daukanak soilik deszifratu dezake informazio hori.
Fitxategiak ez ezik, euskarriak eta komunikazio-kanalak ere zifratu daitezke, https komunikazioak edo urruneko sarbideak, adibidez.
Enpresatik ateratzen diren ordenagailu eramangarrietan eta telefono eta tabletetan ere diskoak zifratzea komeni da, galdu edo inork lapurtuz gero, diskoetan sartzeko aukera galarazteko.
Sistemak eguneratzea
Informazioa maltzurki eskuratu nahi duten erasotzaileen helburu nagusietako bat sistemetan eta programetan dauden ahultasunez baliatzea izaten da. Hori dela eta, ezinbestekoa da ordenagailuen, ordenagailu eramangarrien, zerbitzarien eta gainerako gailuen sistema eragileak azken-azken bertsioarekin eguneratuta edukitzea.
Era berean, gailu horiek dauzkaten programak beren bizi-ziklo erabilgarriaren barruan daudela eta segurtasun-eguneratzeak jasotzen jarraitzen dutela egiaztatu beharra dago.
Esan bezala, sistema eragileak ez ezik, sistema eragile horiek erabiltzen dituzten programak ere eguneratu behar dira.
Hori eginda, gutxitu egiten dira ahultasunak, eta erasotzaileek halakorik aurkitu eta horietaz baliatzeko aukerak.
Malwarearen aurkako sistemak
Software maltzurra detektatzen duten sistemak guztiz beharrezkoak dira gaur egun, gero eta datu gehiago erabiltzen baititugu, sare gero eta arriskutsuagoetan, eta horren ondorioz, gerta daiteke fitxategi maltzurren bat gure sisteman sartzea. Malwarearen aurkako sistemak halakoak saihesten saiatzen dira.
Monitorizazio-elementuak
Informazioa kontrolatzen duten elementuetako bat dira monitorizazio-elementuak. Erakunde baten sistema eta sareetan gertatzen ari denaren jarraipena egin eta zerbait gertatuz gero albait azkarren erantzuteko erabiltzen da monitorizazioa.
Bi motatakoa izan daiteke: erabilgarritasunari dagokiona eta segurtasunari dagokiona.
Erabilgarritasunaren monitorizazioak sistemen osasun-egoera aztertzen du, behar bezala funtzionatzen duten ikusteko. Hori gertatzen ez bada, alarmak pizten dituzte, dagokion sailak beharrezko neurriak hartu eta arazoak konpon ditzan. Adibidez, zerbitzari bat erortzen bada edo sareko esteka bat saturatzen bada.
Segurtasunaren monitorizazioak, bestalde, mehatxuen berri ematen duten gailu guztien jarraipena egiten du, hala nola suebakiena, posta seguruko atebideena, antimalwarearena eta mehatxuak, ERP eta zerbitzari kritiko jakinetako gertaerak detektatzeko modulu aurreratuena. Zerbitzari horiek izan daitezke Interneteko lotura duten zerbitzariak edo AAA ekipoak (LDAPak, direktorio aktiboak, Radius). Monitorizazio horren bidez, erasoak aldez aurretik identifikatzeko neurriak hartu ahal izango dira edo, segurtasun-gertaerarik izanez gero, trazabilitatea izango dugu gero analisi forentsea egiteko.
Erreferentziak
https://www.ccn-cert.cni.es/publico/ens/ens/index.html
https://www.incibe.es/protege-tu-empresa/que-te-interesa/proteccion-informacion
https://tienda.aenor.com/norma-une-en-iso-iec-27001-2017-n0058428
