Top Brechas de Seguridad

Top Brechas de seguridad de 5 medidas técnicas que ha publicado la AEPD en su blog, constituyen las principales 5 medidas que debes tener en cuenta para cumplir con las obligaciones de responsabilidad proactiva establecidas en el RGPD. Estas medidas servirán tanto para evitar brechas de seguridad de los datos personales como para minimizar sus efectos negativos sobre las personas en caso de que se produzcan.

¿Es necesario adoptar medidas de seguridad para proteger lo datos personales, cuando sed tratan por medios electrónicos?

Los tratamientos de datos por medios electrónicos constituyen una practica habitual en nuestros días. Éstos datos están expuestos a un número importante de amenazas en el ámbito digital. Cualquier empresa puede verse afectada. En este sentido, es un grave error pensar que por formar parte de una empresa pequeña o por usar un ordenador en el ámbito privado dejamos de ser un potencial objetivo. Cualquier información, incluyendo aquella de carácter personal, almacenada en un equipo informático puede ser susceptible de un ciberataque.

Ésta situación se ha visto agravada por el Covid-19 y la implantación del teletrabajo en muchas organizaciones. En estos momentos en los que el teletrabajo se ha hecho imprescindible, el uso de dispositivos móviles se ha disparado, y las amenazas a la privacidad tanto de los datos de los clientes como de los datos personales de los propios empleados están más presentes que nunca.

Por ello es importante realizar una buena gestión del riesgo. para ello hay que tener en cuenta:

Identificar los tratamientos realizados
Identificar y evaluar las amenazas que se pueden materializar,
Analizar las medidas técnicas y organizativas más adecuadas para evitar o mitigar sus efectos negativos.

En todo caso la medida más eficaz va a ser evitar tratamientos innecesarios, como, por ejemplo, que no se deben almacenar, transmitir o procesar datos localmente cuando no es imprescindible para los fines que se persiguen. Principio de minimización de datos.

¿Qué medidas técnicas de seguridad podemos implantar?

En la práctica diario incidentes de confidencialidad, integridad y disponibilidad debemos usar una combinación de medidas de seguridad básicas para hacer frente a estos desafíos.

El RGPD establece en su artículo 33 la obligación de notificar a la autoridad de control cualquier violación de seguridad de datos personales en las primeras 72 horas desde que se ha producido (hay más información en la Guía para la gestión y notificación de brechas de seguridad publicada por la AEPD).

Desde que se estableció la obligación de notificar las brechas de seguridad que afectan a datos personales, la AEPD, a través de su Sede electrónica ha registrado ya más de 2.400 brechas de seguridad, más de 400 en los últimos tres meses, lo que representa un 48 % más que en el mismo periodo del año pasado. En las estadísticas que se publican periódicamente pueden verse las tipologías más comunes y sus víctimas. La mayoría de los incidentes de seguridad no corresponden a ciberataques sofisticados y en muchos casos se podrían haber evitado o minimizado sus consecuencias llevando a cabo un razonable análisis de riesgos y aplicando unas medidas de seguridad básicas como las que se describen a continuación, y que son válidas para cualquier tipo de organización independientemente de su tamaño o ámbito.

1. Uso de contraseñas seguras y segundo factor de autenticación

Se debe establecer una buena política de contraseñas para el acceso a los sistemas. Esta política puede empezar por no almacenar las contraseñas en los sistemas sin cifrar, obligar a actualizarlas de forma periódica y no reutilizarlas para distintos servicios. Es recomendable leer la guía del CCN sobre el tema.

A la vista de los incidentes de robos masivos de contraseñas, contar con un segundo factor de autenticación se hace necesario para los sistemas más críticos, y recomendable para el resto. El uso de un segundo factor implica que aparte de facilitar el usuario y contraseña sea preciso una prueba adicional para realizar la identificación, como pueda ser un elemento biométrico, un código pseudoaleatorio, o el envío de un código de un solo uso establecido para cada usuario.

2. Copias de seguridad

Actualmente, las amenazas de tipo ransomware o secuestro de la información están más extendidos y son más dañinos, causando la indisponibilidad temporal o permanente de datos y servicios.

En este caso, las herramientas de copias de seguridad son fundamentales para recuperarse del incidente (artículo 32.c del RGPD). Se debe establecer de forma minuciosa una política de cómo se realizarán las copias de seguridad, en la organización. Recomendamos la lectura de esta guía del INCIBE sobre el tema.

3. Mantener los Sistemas actualizados

Una de las medidas más efectivas es contar con los sistemas actualizados en todo momento, puesto que los fabricantes están continuamente aplicando parches y mejoras de seguridad según se detectan los problemas. Esta actualización no sólo se refiere al sistema operativo de nuestros equipos de trabajo y servidores, sino también a los programas que utilizamos en nuestros dispositivos, y que deben ser la última versión disponible por el fabricante. Se debe establecer una rutina de actualizaciones periódicas documentada y trazable.

4. Exposición de servicios en internet

En ocasiones, para llevar a cabo una tarea de mantenimiento, realizar pruebas o permitir un acceso puntual se aplican configuraciones en los sistemas que pueden llegar a comprometer la seguridad.

Es importante que las organizaciones definan una estricta política de servicios expuestos en Internet. Asimismo, los accesos remotos siempre deben realizarse a través de sistemas de VPN, proxy inverso o medidas igualmente eficaces.

5. Cifrados de dispositivos

Una medida básica para asegurar la confidencialidad de la información consiste obligar a que al menos los dispositivos portátiles que se puedan extraviar fácilmente o ser objeto de robo estén cifrados. Esta recomendación aplica no sólo a los ordenadores portátiles, sino también a teléfonos móviles, tabletas, memorias USB, discos duros externos y copias de seguridad que se depositan en otros lugares.

Una contraseña de acceso al sistema no asegura la confidencialidad del contenido en caso de robo o extravío, por lo que es necesario complementar con el cifrado. Esta medida es una de las que menciona el RGPD en su artículo 32.

Otra aproximación al RGPD es aplicar la minimización de datos en los dispositivos. Esto implica tener la menor cantidad de datos personales y el menor tiempo posible en un dispositivo, y solamente cuando se vayan a tratar. En esta entrada del blog de la AEPD hay más información disponible.

Asesórate en Protección de datos para Pymes

Cualquier tratamiento de Datos de carácter personal es fundamental recibir asesoramiento profesional.

Contáctanos. Comunícate con nosotros para conocer mucho más sobre Protección de datos para Pymes. También entérate sobre nuestros demás servicios. Escríbenos a través de nuestra web o directamente por correo. También puedes encontrarnos por Facebook

Cookie	Duración	Descripción
cookielawinfo-checkbox-advertisement	1 año	Establecida por el complemento de consentimiento de cookies de GDPR, esta cookie se utiliza para registrar el consentimiento del usuario para las cookies en la categoría "Publicidad".
cookielawinfo-checkbox-analytics	11 meses	Esta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Análisis".
cookielawinfo-checkbox-functional	11 meses	La cookie está configurada por el consentimiento de cookies de GDPR para registrar el consentimiento del usuario para las cookies en la categoría "Funcionales".
cookielawinfo-checkbox-necessary	11 meses	Esta cookie está configurada por el complemento de consentimiento de cookies de GDPR. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Necesarias".
cookielawinfo-checkbox-others	11 meses	Esta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Otras".
cookielawinfo-checkbox-performance	11 meses	Esta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Rendimiento".
CookieLawInfoConsent	1 año	Registra el estado del botón predeterminado de la categoría correspondiente y el estado de CCPA. Funciona solo en coordinación con la cookie principal
viewed_cookie_policy	11 meses	La cookie está configurada por el complemento de consentimiento de cookies de GDPR y se utiliza para almacenar si el usuario ha dado su consentimiento o no para el uso de cookies. No almacena ningún dato personal.

Top Brechas de Seguridad

¿Es necesario adoptar medidas de seguridad para proteger lo datos personales, cuando sed tratan por medios electrónicos?

¿Qué medidas técnicas de seguridad podemos implantar?

1. Uso de contraseñas seguras y segundo factor de autenticación

2. Copias de seguridad

3. Mantener los Sistemas actualizados

4. Exposición de servicios en internet

5. Cifrados de dispositivos

Asesórate en Protección de datos para Pymes

Submit a Comment Cancelar la respuesta

Entradas recientes

Comentarios recientes

Archivos

Categorías

Meta