Brechas de seguridad: protégete ante la pérdida o robo de un dispositivo portátil

En esta entrada destacamos algunas medidas, como el cifrado de dispositivos, que permiten limitar el impacto en caso pérdida o robo de dispositivos portátiles.

2019-10-02-seguridad

¿Qué riesgos supone el uso de estos dispositivos?

En un mundo totalmente globalizado e interconectado, es habitual en el día a día intercambiar información o tenerla disponible para poder utilizarla en múltiples localizaciones y de forma flexible, tanto a nivel personal como a nivel profesional.

El uso de dispositivos portátiles se ha popularizado por su gran versatilidad y precios asequibles, lo que nos facilita tener a mano los informes en los que estamos trabajando, la presentación que tenemos que realizar, fotografías, o en definitiva cualquier información que necesitemos utilizar de manera flexible desde diversos equipos. Teléfono inteligente, tableta y ordenador portátil son hoy en día herramientas imprescindibles en el trabajo.

De la principal ventaja de este tipo de dispositivos, que es precisamente la portabilidad, surge un factor de riego adicional muy importante, como es la posibilidad de pérdida o robo de estos dispositivos. Adicionalmente, no se debe olvidar que estos dispositivos, como cualquier otro dispositivo informático, se enfrentan a muchos otros tipos de riesgos que deberán ser tratados adecuadamente.

En caso de pérdida o robo de un dispositivo de este tipo estaremos ante una brecha de confidencialidad por posibles accesos indebidos a los datos almacenados en el dispositivo y/o brecha de disponibilidad en caso de no tener una copia recuperable de los datos. Precisamente, este tipo de brechas de seguridad  representa más del 20% de las notificaciones recibidas en la AEPD relacionadas con estos incidentes, por lo que resulta muy interesante poner de manifiesto qué medidas de seguridad pueden ayudar a mitigar las consecuencias negativas de la pérdida o robo de un dispositivo de este tipo.

Medidas de seguridad

Como norma general, y atendiendo a los principios establecidos en el RGPD, se deben minimizar los datos personales almacenados/procesados en dispositivos portátiles, utilizándolos para acceso remoto a los mismos en la medida de lo posible.

Hay tres medidas de seguridad particularmente efectivas para minimizar los posibles daños causados por una brecha de seguridad debida a la pérdida o robo de un dispositivo portátil.

  • El cifrado de los datos en el dispositivo es una medida efectiva para evitar el acceso no autorizado a los datos en caso de pérdida o robo. Es importante recordar que los datos personales, aunque estén cifrados, siguen siendo datos de carácter personal.
  • Mantener una copia de los datos en otro soporte o copia de seguridad es una medida efectiva para combatir la pérdida de disponibilidad de los datos.
  • Contar con una contraseña de bloqueo de pantalla y/o autenticación de usuario en el dispositivo igualmente robusta y conservada de forma segura. Esta última medida de seguridad no es aplicable a dispositivos de almacenamiento extraíbles.

Las tres medidas son importantes, cada una es efectiva sobre diferentes aspectos de la seguridad de los dispositivos, por lo que deben utilizarse de forma conjunta.

En teléfonos inteligentes y tabletas relativamente actuales, la opción de cifrado suele estar activada por defecto, pero es necesario comprobar que efectivamente está activada y que se ha seleccionado un clave de cifrado suficientemente robusta que debe ser mantenida de forma segura.

Para ampliar información sobre estas medidas de seguridad se puede consultar la Ficha 1 de la Guía de privacidad y seguridad en internet de la AEPD.

En todo caso, antes de utilizar dispositivos portátiles, cualquier organización debería regular en la política de seguridad su uso basándose en un análisis de los riesgos que presentan según las características particulares de los tratamientos de datos que realiza.

En la política de seguridad se debe establecer si se permite o no su utilización, y en caso afirmativo, cuáles son las medidas a aplicar para minimizar el riesgo, como por ejemplo establecer qué tipo de dispositivos se pueden utilizar; qué tipo de información se puede almacenar en estos dispositivos; las categorías de datos; establecer limitaciones de tamaño; autorizar únicamente aquellos que sean estrictamente necesarios; mantener un inventario de estos dispositivos; garantizar la seguridad de los dispositivos y/o equipos a los que se conectan; formar y concienciar a los empleados sobre los riesgos, así como de la necesidad de cifrar  y hacer copias de seguridad. Sobre todo, se debe ser consciente del riesgo de pérdida o robo de estos dispositivos y tener previsto un plan de actuación para poder responder lo más rápidamente y de forma efectiva.

Tanto la efectividad de las medidas aplicables, como la conveniencia de utilizar estos dispositivos o sustituirlos por otras soluciones, debe revisarse periódicamente dentro de los planes de gestión del riesgo de la organización.

¿Qué hacer en caso de pérdida o robo?

En cuanto tengamos indicios de la pérdida o robo de un dispositivo debemos empezar a actuar lo antes posible.

En caso de que el dispositivo contenga datos de carácter personal se tendrá que, como mínimo, hacer frente a las obligaciones establecidas en los artículos 33 y 34 del RGPD.  En general, el primer paso será poner el incidente en conocimiento del responsable de tratamiento para que se pueda activar el plan de actuación. El responsable tiene que saber exactamente qué información contenía el dispositivo y disponer de un plan de actuación para poder gestionar el incidente de seguridad.

En particular, si se trata de una brecha de seguridad que afecta a datos personales se deberá notificar la misma a la AEPD cuando exista un riesgo para los derechos y libertades para las personas físicas dentro del plazo de 72h desde que se conoce el incidente. Además, se deberá comunicar a los afectados cuando este riesgo sea alto.

La valoración de estas circunstancias y la decisión sobre notificar a la AEPD y a los afectados corresponde al responsable de tratamiento.

En general, para dispositivos de almacenamiento extraíbles, siempre que los dispositivos estén cifrados con un algoritmo criptográficamente fuerte, la clave de cifrado sea robusta y no se haya visto comprometida, y se disponga de una copia de seguridad de los datos, se podría considerar que la confidencialidad e integridad de los datos no están comprometidas y por tanto no es necesario notificar la brecha a la AEPD ni a los afectados, siempre y cuando el riesgo principal derive de la falta de disponibilidad de dicha información.

Para el caso de dispositivos con sistema operativo, como son teléfonos inteligentes, tabletas y ordenadores portátiles, habrá que considerar además si los mecanismos y las credenciales de autentificación de usuarios en el sistema operativo, o patrón/clave de desbloqueo en caso de teléfonos inteligentes y tabletas, son suficientemente robustas y no han sido comprometidas para tomar la decisión de notificar la brecha de seguridad.

En cualquier caso, los detalles de la brecha de seguridad deberán quedar registrados en el registro de incidentes de seguridad de la organización.

Entradas relacionadas