Brechas de seguridad: El Top 5 de las medidas técnicas que debes tener en cuenta
En esta entrada de blog se exponen cinco medidas técnicas de seguridad que juegan un papel relevante en los tratamientos de datos personales para cumplir con las obligaciones de responsabilidad proactiva establecidas en el RGPD. Estas medidas servirán tanto para evitar brechas de seguridad de los datos personales como para minimizar sus efectos negativos sobre las personas en caso de que se produzcan.
I. ¿Por qué adoptar medidas de seguridad orientadas a la protección de datos personales?
En la actualidad, los tratamientos de datos por medios electrónicos están en todas partes, y las organizaciones se exponen a un número de amenazas en el ámbito digital que supera con creces los problemas de seguridad del entorno físico. Cualquier tipo de organización puede verse afectada, por lo que sería un grave error pensar que por formar parte de una empresa pequeña o por usar un ordenador en el ámbito privado no somos un potencial objetivo. Cualquier información, incluyendo aquella de carácter personal, almacenada en un equipo informático puede ser susceptible de un ciberataque.
En estos momentos en los que el teletrabajo se ha hecho imprescindible en muchas organizaciones por el COVID-19, el uso de dispositivos móviles se ha disparado, y las amenazas a la privacidad tanto de los datos de los clientes como de los datos personales de los propios empleados están más presentes que nunca.
En este escenario, es muy importante contar con una buena gestión del riesgo a todos los niveles. Debemos poner énfasis en los tratamientos que realizamos teniéndolos claramente identificados, estudiar cuales son las amenazas que se pueden materializar, y analizar las medidas técnicas y organizativas más adecuadas para evitar o mitigar sus efectos negativos. La medida más eficaz va a ser siempre evitar tratamientos innecesarios, como, por ejemplo, que no se deben almacenar, transmitir o procesar datos localmente cuando no es imprescindible para los fines que se persiguen.
II. Top 5 - Medidas técnicas de seguridad
Dado que la privacidad se puede ver afectada por incidentes de confidencialidad, integridad y disponibilidad debemos usar una combinación de medidas de seguridad básicas para hacer frente a estos desafíos.
El RGPD establece en su artículo 33 la obligación de notificar a la autoridad de control cualquier violación de seguridad de datos personales en las primeras 72 horas desde que se ha producido (hay más información en la Guía para la gestión y notificación de brechas de seguridad publicada por la AEPD).
Desde que se estableció la obligación de notificar las brechas de seguridad que afectan a datos personales, la AEPD, a través de su Sede electrónica ha registrado ya más de 2.400 brechas de seguridad, más de 400 en los últimos tres meses, lo que representa un 48 % más que en el mismo periodo del año pasado. En las estadísticas que se publican periódicamente pueden verse las tipologías más comunes y sus víctimas. La mayoría de los incidentes de seguridad no corresponden a ciberataques sofisticados y en muchos casos se podrían haber evitado o minimizado sus consecuencias llevando a cabo un razonable análisis de riesgos y aplicando unas medidas de seguridad básicas como las que se describen a continuación, y que son válidas para cualquier tipo de organización independientemente de su tamaño o ámbito.
i. Uso de contraseñas seguras y segundo factor de autenticación
Se debe establecer una buena política de contraseñas para el acceso a los sistemas. Esta política puede empezar por no almacenar las contraseñas en los sistemas sin cifrar, obligar a actualizarlas de forma periódica y no reutilizarlas para distintos servicios. Es recomendable leer la guía del CCN sobre el tema.
A la vista de los incidentes de robos masivos de contraseñas, contar con un segundo factor de autenticación se hace necesario para los sistemas más críticos, y recomendable para el resto. El uso de un segundo factor implica que aparte de facilitar el usuario y contraseña sea preciso una prueba adicional para realizar la identificación, como pueda ser un elemento biométrico, un código pseudoaleatorio, o el envío de un código de un solo uso establecido para cada usuario.
ii. Copias de seguridad
Actualmente, las amenazas de tipo ransomware o secuestro de la información están más extendidos y son más dañinos, causando la indisponibilidad temporal o permanente de datos y servicios.
En este caso, las herramientas de copias de seguridad son fundamentales para recuperarse del incidente (artículo 32.c del RGPD). Se debe establecer de forma minuciosa una política de cómo se realizarán las copias de seguridad, en la organización. Recomendamos la lectura de esta guía del INCIBE sobre el tema.
iii. Sistemas actualizados
Una de las medidas más efectivas es contar con los sistemas actualizados en todo momento, puesto que los fabricantes están continuamente aplicando parches y mejoras de seguridad según se detectan los problemas. Esta actualización no sólo se refiere al sistema operativo de nuestros equipos de trabajo y servidores, sino también a los programas que utilizamos en nuestros dispositivos, y que deben ser la última versión disponible por el fabricante. Se debe establecer una rutina de actualizaciones periódicas documentada y trazable.
No hay que olvidar que, por ejemplo, para el famosos ataque WannaCry, que afectó a millones de equipos en todo el mundo, existía una actualización de seguridad por parte de Microsoft desde tres meses antes de que tuviera lugar el ataque.
iv. Exposición de servicios en internet
En ocasiones, para llevar a cabo una tarea de mantenimiento, realizar pruebas o permitir un acceso puntual se aplican configuraciones en los sistemas que pueden llegar a comprometer la seguridad. Muchas veces, estas ‘soluciones de un día’ no se vigilan y terminan convirtiéndose en definitivas, dejando un posible agujero de seguridad abierto. Por ejemplo, acciones como permitir un acceso libre desde Internet a una base de datos o acceder al escritorio remoto de un servidor se dan muy a menudo.
Es importante que las organizaciones definan una estricta política de servicios expuestos en Internet. Asimismo, los accesos remotos siempre deben realizarse a través de sistemas de VPN, proxy inverso o medidas igualmente eficaces.
v. Cifrados de dispositivos
Una medida básica para asegurar la confidencialidad de la información consiste obligar a que al menos los dispositivos portátiles que se puedan extraviar fácilmente o ser objeto de robo estén cifrados. Esta recomendación aplica no sólo a los ordenadores portátiles, sino también a teléfonos móviles, tabletas, memorias USB, discos duros externos y copias de seguridad que se depositan en otros lugares. Una contraseña de acceso al sistema no asegura la confidencialidad del contenido en caso de robo o extravío, por lo que es necesario complementar con el cifrado. Esta medida es una de las que menciona el RGPD en su artículo 32.
Otra aproximación al RGPD es aplicar la minimización de datos en los dispositivos. Esto implica tener la menor cantidad de datos personales y el menor tiempo posible en un dispositivo, y solamente cuando se vayan a tratar. En esta entrada del blog de la AEPD hay más información disponible.
Este post forma parte de una serie sobre brechas de seguridad:
Brechas de seguridad: protégete ante la pérdida o robo de un dispositivo portátil
Brechas de seguridad de datos personales: qué son y cómo actuar
Brechas de seguridad: protégete ante el ransomware