Top Brechas de seguridad de 5 medidas técnicas que  ha publicado la AEPD en su blog, constituyen las principales 5 medidas que debes tener en cuenta para cumplir con las obligaciones de responsabilidad proactiva establecidas en el RGPD. Estas medidas servirán tanto para evitar brechas de seguridad de los datos personales como para minimizar sus efectos negativos sobre las personas en caso de que se produzcan.

¿Es necesario adoptar medidas de seguridad para proteger lo datos personales, cuando sed tratan por medios electrónicos?

Los tratamientos de datos por medios electrónicos constituyen una practica habitual en nuestros días. Éstos datos están expuestos a un número importante de amenazas en el ámbito digital. Cualquier empresa puede verse afectada. En este sentido, es un grave error pensar que por formar parte de una empresa pequeña o por usar un ordenador en el ámbito privado dejamos de ser un potencial objetivo. Cualquier información, incluyendo aquella de carácter personal, almacenada en un equipo informático puede ser susceptible de un ciberataque.

Ésta situación se ha visto agravada por el Covid-19 y la implantación del teletrabajo en muchas organizaciones. En estos momentos en los que el teletrabajo se ha hecho imprescindible, el uso de dispositivos móviles se ha disparado, y las amenazas a la privacidad tanto de los datos de los clientes como de los datos personales de los propios empleados están más presentes que nunca.

Por ello es importante realizar una buena gestión del riesgo. para ello hay que tener en cuenta:

  1. Identificar los tratamientos realizados
  2. Identificar y evaluar las amenazas que se pueden materializar,
  3. Analizar las medidas técnicas y organizativas más adecuadas para evitar o mitigar sus efectos negativos.

En todo caso la medida más eficaz va a ser evitar tratamientos innecesarios, como, por ejemplo, que no se deben almacenar, transmitir o procesar datos localmente cuando no es imprescindible para los fines que se persiguen. Principio de minimización de datos.

¿Qué medidas técnicas de seguridad podemos implantar?

En la práctica diario incidentes de confidencialidad, integridad y disponibilidad debemos usar una combinación de medidas de seguridad básicas para hacer frente a estos desafíos.

El RGPD establece en su artículo 33 la obligación de notificar a la autoridad de control cualquier violación de seguridad de datos personales en las primeras 72 horas desde que se ha producido (hay más información en la Guía para la gestión y notificación de brechas de seguridad publicada por la AEPD).

Desde que se estableció la obligación de notificar las brechas de seguridad que afectan a datos personales, la AEPD, a través de su Sede electrónica  ha registrado ya más de 2.400 brechas de seguridad, más de 400 en los últimos tres meses, lo que representa un 48 % más que en el mismo periodo del año pasado. En las estadísticas que se publican periódicamente pueden verse las tipologías más comunes y sus víctimas. La mayoría de los incidentes de seguridad no corresponden a ciberataques sofisticados y en muchos casos se podrían haber evitado o minimizado sus consecuencias llevando a cabo un razonable análisis de riesgos y aplicando unas medidas de seguridad básicas como las que se describen a continuación, y que son válidas para cualquier tipo de organización independientemente de su tamaño o ámbito.

1. Uso de contraseñas seguras y segundo factor de autenticación

Se debe establecer una buena política de contraseñas para el acceso a los sistemas. Esta política puede empezar por no almacenar las contraseñas en los sistemas sin cifrar, obligar a actualizarlas de forma periódica y no reutilizarlas para distintos servicios. Es recomendable leer la guía del CCN sobre el tema.

A la vista de los incidentes de robos masivos de contraseñas, contar con un segundo factor de autenticación se hace necesario para los sistemas más críticos, y recomendable para el resto. El uso de un segundo factor implica que aparte de facilitar el usuario y contraseña sea preciso una prueba adicional para realizar la identificación, como pueda ser un elemento biométrico, un código pseudoaleatorio, o el envío de un código de un solo uso establecido para cada usuario.

2. Copias de seguridad

Actualmente, las amenazas de tipo ransomware o secuestro de la información están más extendidos y son más dañinos, causando la indisponibilidad temporal o permanente de datos y servicios.

En este caso, las herramientas de copias de seguridad son fundamentales para recuperarse del incidente (artículo 32.c del RGPD). Se debe establecer de forma minuciosa una política de cómo se realizarán las copias de seguridad, en la organización.  Recomendamos la lectura de esta guía del INCIBE sobre el tema.

3. Mantener los Sistemas actualizados

Una de las medidas más efectivas es contar con los sistemas actualizados en todo momento, puesto que los fabricantes están continuamente aplicando parches y mejoras de seguridad según se detectan los problemas. Esta actualización no sólo se refiere al sistema operativo de nuestros equipos de trabajo y servidores, sino también a los programas que utilizamos en nuestros dispositivos, y que deben ser la última versión disponible por el fabricante. Se debe establecer una rutina de actualizaciones periódicas documentada y trazable.

4. Exposición de servicios en internet

En ocasiones, para llevar a cabo una tarea de mantenimiento, realizar pruebas o permitir un acceso puntual se aplican configuraciones en los sistemas que pueden llegar a comprometer la seguridad.

Es importante que las organizaciones definan una estricta política de servicios expuestos en Internet. Asimismo, los accesos remotos siempre deben realizarse a través de sistemas de VPN, proxy inverso o medidas igualmente eficaces.

5. Cifrados de dispositivos

Una medida básica para asegurar la confidencialidad de la información consiste obligar a que al menos los dispositivos portátiles que se puedan extraviar fácilmente o ser objeto de robo estén cifrados. Esta recomendación aplica no sólo a los ordenadores portátiles, sino también a teléfonos móviles, tabletas, memorias USB, discos duros externos y copias de seguridad que se depositan en otros lugares.

Una contraseña de acceso al sistema no asegura la confidencialidad del contenido en caso de robo o extravío, por lo que es necesario complementar con el cifrado. Esta medida es una de las que menciona el RGPD en su artículo 32.

Otra aproximación al RGPD es aplicar la minimización de datos en los dispositivos. Esto implica tener la menor cantidad de datos personales y el menor tiempo posible en un dispositivo, y solamente cuando se vayan a tratar. En esta entrada del blog de la AEPD hay más información disponible.

Asesórate en Protección de datos para Pymes

Cualquier tratamiento de Datos de carácter personal es fundamental recibir asesoramiento profesional.

Contáctanos. Comunícate con nosotros para conocer mucho más sobre Protección de datos para Pymes. También entérate sobre nuestros demás servicios. Escríbenos a través de nuestra web o directamente por correo. También puedes encontrarnos por Facebook