Entradas

Responsabilidad proactiva y brechas de seguridad: La AEPD remarca las 5 medidas de seguridad principales de carácter técnico que debemos tener en cuenta

Responsabilidad proactiva y brechas de seguridad: La AEPD remarca las 5 medidas de seguridad principales de carácter técnico que debemos tener en cuenta

Responsabilidad proactiva y brechas de seguridad: La AEPD remarca las 5 medidas de seguridad principales de carácter técnico que debemos tener en cuenta

Hasta hace un mes, hablar de teletrabajo era algo casi residual, en auge, pero también en gran parte ocasional, es decir, cuando por motivos de trabajo realizábamos un viaje de negocios, nos desplazábamos a las oficinas del cliente o por motivos concretos y puntuales teníamos que conectarnos desde casa.

Si a esto le unimos el COVID-19 y el constante aumento del número de dispositivos móviles de uso personal en el ámbito laboral, es decir, la irrupción del BYOD, «Bring Your Own Device» o «trae tu propio dispositivo», estamos ante una nueva esfera en la que debemos ser más prudentes y reforzar nuestras políticas de seguridad para que la privacidad no se vea afectada por incidencias bien de confidencialidad, integridad y/o disponibilidad.

Teletrabajo y BYOD, aportan ventajas pero son beneficios ligados al incremento de las amenazas y riesgos que debemos tener muy presentes revisando nuestra gestión del riesgo y adoptando las medidas de seguridad necesarias y orientarlas a la protección de datos personales que tratemos, tal y como la Agencia Española de protección de datos nos señala en su blog y que vamos a resumir.

1. Reforzar la seguridad de las contraseñas y adoptar un segundo factor de autenticación:
  • No almacenar las contraseñas en los sistemas sin cifrar
  • Actualizarlas de forma periódica y obligada
  • No puedan ser reutilizarlas
  • Añadir, cuando menos, para los sistemas más críticos, un segundo factor de autenticación
2. Copias de seguridad:

Siempre hemos dicho, como en nuestro post de 2015 ¿Hacemos copias de seguridad por sentido común o por cumplir con la LOPD? que salvaguardar nuestro negocio es algo inherente al pensamiento empresarial, da igual si eres grande o pequeño, realizar copias de seguridad es una medida indispensable que garantizará la continuidad y mantendrá la confianza de nuestros clientes, en tiempos en los que el ransomware o secuestro de la información son cada vez más potentes y destructivos.

Hemos hablado de revisar nuestra gestión del riesgo y adoptar las medidas de seguridad necesarias ante la nueva esfera, sus soportes, espacios físicos, etc. y por tanto debemos definir pruebas periódicas para verificar la integridad y la efectiva recuperación de la información en esta nueva situación.

3. Sistemas actualizados
  • Establecer una rutina de actualizaciones periódicas aplicando parches y mejoras de seguridad según se detectan los problemas.
4. Exposición de servicios en internet: mantenimiento, pruebas o accesos puntuales
  • Soluciones puntuales que terminan siendo definitivas y por tanto deberán ser contempladas e incorporadas en nuestras políticas de seguridad y en la gestión del riesgo
  • Debemos habilitar un acceso remoto seguro que haga que el tráfico generado mantenga la integridad y confidencialidad de la información. La tecnología VPN o Red Privada Virtual permite extender la red local (LAN) sobre una red pública no segura como es Internet.
  • Establecer y comunicar, una política muy restrictiva de uso de wifis y redes externas que indicará a qué recursos se permitirá el acceso, con especial atención a los servicios críticos para la organización.
5. Cifrados de dispositivos y minimización de datos:

Cualquier dispositivo portátil: ordenadores, móviles, tabletas, memorias USB, discos duros externos, etc. puede extraviarse o ser objeto de un robo.

Nos encontraremos ante una posible brecha de seguridad que habrá que analizar y por tanto debemos anticiparnos tratando de minimizar su impacto aplicando medidas que garantice la confidencialidad de la información que puedan contener:

  • Dichos dispositivos deberán estar cifrados
  • Contener la menor cantidad de datos personales posibles y durante el tiempo imprescindible