Los tratamientos de datos personales a través de medios electrónicos son cada vez más frecuentes, y las organizaciones se exponen a más amenazas en los entornos digitales que en los físicos.
La mayoría de los incidentes de seguridad no corresponden a ciberataques sofisticados y en muchos casos se podrían haber evitado o minimizado sus consecuencias llevando a cabo un análisis de riesgos y aplicando unas medidas de seguridad básicas como las que se describen a continuación, y que son válidas para cualquier tipo de organización independientemente de su tamaño o ámbito.
Puede descargar el documento con estas medidas de seguridad aquí.
MEDIDAS DE SEGURIDAD BÁSICAS
1. Formación al personal autorizado al tratamiento de la información
Un sistema es tan seguro como lo es su eslabón más débil, y normalmente en una organización en la que trabajan multitud de personas suele ser el personal que trata o procesa la información. Resulta inútil invertir dinero en tecnologías, herramientas y equipos que protejan la información o los sistemas que la gestionan, si los miembros que hacen uso de ella no tienen en cuenta buenas prácticas. Para evitar este tipo de situaciones, será de gran importancia formar y concienciar a todos los miembros de la organización, ya que en mayor o menor medida son los que gestionan sus recursos críticos. La formación y concienciación será la única herramienta con la que inculcar y mejorar sus habilidades en ciberseguridad, lo que sin duda, repercutirá positivamente en la entidad. A una organización que cuente con personal formado y concienciado en ciberseguridad, le será mucho más difícil sufrir un incidente de seguridad y en su caso, lo gestionará de manera mucho más eficiente. Este factor es de gran importancia, ya que un incidente de seguridad podría repercutir muy negativamente en su funcionamiento, provocando pérdidas económicas y de reputación e imagen.
2. Uso de contraseñas seguras y segundo factor de autenticación
Se debe establecer una buena política de contraseñas para el acceso a los sistemas. Esta política puede empezar por no almacenar las contraseñas en los sistemas sin cifrar, obligar a actualizarlas de forma periódica y no reutilizarlas para distintos servicios. A la vista de los incidentes de robos masivos de contraseñas, contar con un segundo factor de autenticación se hace necesario para los sistemas más críticos, y recomendable para el resto. El uso de un segundo factor implica que aparte de facilitar el usuario y contraseña sea preciso una prueba adicional para realizar la identificación, como pueda ser un elemento biométrico (huella, por ejemplo), el envío de un código de un solo uso establecido para cada usuario, etc.
3. Copias de seguridad
Actualmente, las amenazas de tipo ransomware o secuestro de la información están más extendidas y son más dañinas, causando la indisponibilidad temporal o permanente de datos y servicios. En este caso, los sistemas de copias de seguridad son fundamentales para recuperarse del incidente (artículo 32.c del GDPR). Un sistema de copias recomendable sería utilizar la regla «3-2-1», esto es: realizar 3 copias de la información (original y dos copias) en 2 soportes diferentes y alojar una copia en 1 lugar físico distinto.
4. Sistemas actualizados
Los desarrolladores están continuamente facilitando actualizaciones, que son parches y mejoras de seguridad a vulnerabilidades detectadas en sus soluciones, no sólo de sistemas operativos de nuestros equipos de trabajo y servidores, sino también de los programas que utilizamos en nuestros dispositivos, y que deben estar actualizados a la última versión facilitada por el fabricante. Se debe establecer una rutina de actualizaciones periódicas documentada y trazable. Por ejemplo, para el famoso ataque WannaCry, que afectó a millones de equipos en todo el mundo, existía una actualización de seguridad por parte de Microsoft desde tres meses antes de que tuviera lugar el mismo.
5. Exposición de servicios en internet
En ocasiones, para llevar a cabo una tarea de mantenimiento, realizar pruebas o permitir un acceso puntual se aplican configuraciones en los sistemas que pueden llegar a comprometer la seguridad. Muchas veces, estas soluciones puntuales no se vigilan y terminan convirtiéndose en definitivas, dejando un posible agujero de seguridad abierto. Por ejemplo, acciones como permitir un acceso libre desde Internet a una base de datos o acceder al escritorio remoto de un servidor se dan muy a menudo. Es importante que las organizaciones definan una estricta política de servicios expuestos en Internet. Asimismo, los accesos remotos siempre deben realizarse a través de sistemas de VPN, proxy inverso o medidas igualmente eficaces.
6. Cifrados de dispositivos
Para asegurar la confidencialidad de la información, es decir para evitar los accesos a la información de personas o sistemas no autorizados, al menos los dispositivos portátiles que se puedan extraviar fácilmente o ser objeto de robo deben estar cifrados (ordenadores portátiles, teléfonos móviles, tabletas, memorias USB, discos duros externos y copias de seguridad que se depositan en otros lugares). Una contraseña de acceso al sistema no asegura la confidencialidad del contenido en caso de robo o extravío, por lo que es necesario complementar con el cifrado. Esta medida es una de las que menciona el GDPR en su artículo 32.1.a).
7. Minimización de datos
Otra aproximación al GDPR es aplicar la minimización de datos en los dispositivos. Esto implica tener la menor cantidad de datos personales y el menor tiempo posible en un dispositivo, y solamente cuando se vayan a tratar.