Medidas de seguridad de la información

¿Sabes quién puede acceder a la información que tiene almacenada tu empresa?

¿Cumple tu organización con la nueva normativa de protección de datos?

¿Dispones de una solución de seguridad que proteja tu correo electrónico corporativo frente a las amenazas más avanzadas?

En este artículo te ayudaré a descubrir cuáles son los principales riesgos de seguridad y qué soluciones tienes a tu alcance.

Definición y régimen aplicable a las medidas de seguridad

Por medidas de seguridad podemos entender todas aquellas medidas que persiguen, no solo garantizar la seguridad de la información, sino también individualizar las responsabilidades en caso de vulneración.

La Ley de Moore expresa que aproximadamente cada dos años se duplica el número de transistores en un microprocesador. Lo que puede darnos una idea de la velocidad a la que aumenta la tecnología, y así la dificultad de su seguridad.

Si bien es cierto que la garantía de la seguridad total de los datos personales es una utopía, una cultura de cumplimiento y establecimiento de medidas de seguridad reducirá notablemente los riesgos.

La seguridad es, por tanto, clave para garantizar el derecho fundamental a la protección de datos.

Las medidas persiguen, no sólo garantizar la seguridad de la información, sino también permitir individualizar las responsabilidades.

En este sentido, cabe recordar que los costes de implementar medidas de seguridad pueden ser mínimos comparados con los costes producidos por una vulneración. Ya sea por sanciones o por pérdida de reputación corporativa.

Algunas de las principales fuentes que podemos utilizar para establecer un catálogo de medidas de seguridad son:

• Esquema Nacional de Seguridad (ENS)
• ISO 27001
• Informes y recomendaciones de la Agencia Europea de Seguridad de las Redes y Sistemas de Información (ENISA).

ENS

El ENS fue desarrollado por el Real Decreto 3/2010, de 8 de enero, de desarrollo del Esquema Nacional de Seguridad.

Esta norma establece los principios básicos, los requisitos mínimos y las medidas de seguridad con las que tienen que cumplir los sistemas de información de las Administraciones Públicas en nuestro país.

ISO 27001

La ISO 27001 es la principal norma internacional en materia de seguridad de la información y certificarse de acuerdo a este estándar permite establecer una metodología de gestión de la seguridad clara.

En conclusión, un sistema de gestión de la seguridad de la información (SGSI) no implica solo al equipo de sistemas o de seguridad TI de una organización. Será una labor de los diferentes departamentos de la empresa, desde recursos humanos, sistemas, marketing, operaciones, jurídico, etc.

Además, es imprescindible contar con el apoyo de la alta dirección, pues en muchas ocasiones, la implantación o mejora de un SGSI conlleva cambios en la cultura empresarial que deben ser implementados en todas las capas de ésta.

ENISA

ENISA, la Agencia de Seguridad de las Redes y de la Información de la Unión Europea, tiene como principal objetivo contribuir a la seguridad cibernética en la Unión Europea.

Está centrada principalmente en:

• Seguridad en cloud y big data
• Infraestructuras críticas y
• Respuesta a incidentes.

Igualmente emite opiniones sobre medidas de seguridad en protección de datos.

¿Cuáles son los conceptos relacionados con las medidas de seguridad?

En materia de seguridad de la información, las medidas se organizan en torno a los conceptos de integridad, confidencialidad, disponibilidad y resiliencia.

Estos conceptos están muy relacionados entre ellos y las medidas de seguridad que garanticen uno podrán también garantizar otros.

Confidencialidad

Es la cualidad de la información de estar únicamente accesible a personas o sistemas autorizados.

La información se mantendrá secreta cuando se establezcan:

• procedimientos adecuados de identificación y autentificación de usuarios,
• controles de acceso físico y lógico y
• contraseñas robustas modificadas periódicamente.

Integridad

Relacionado con el concepto de confidencialidad, la integridad implicaría que los datos de carácter personal no se alteren y se mantengan sin modificaciones.

Principalmente consiste en proteger las bases de datos mediante técnicas de cifrado. Pero también administración de permisos para realizar modificaciones en el sistema informático de la organización.

Disponibilidad

La disponibilidad de la información refleja la capacidad de acceso a la información de inmediato por quienes cuenten con autorización.

Una medida para que la información esté siempre disponible es establecer:

• Procedimiento de copias de respaldo y recuperación de datos
• Inventario de la documentación
• Soportes físicos
• Descripción del sistema de información.

Resiliencia

La resiliencia es, por último, la capacidad de un sistema de información de continuar funcionando a pesar de todas las incidencias que pudiera sufrir.

Este concepto está relacionado con los planes de continuidad de negocio.

Por ejemplo, el duplicado de todos los sistemas de información de una organización en otras instalaciones o en otros servidores.

¿Cómo nos pueden ayudar las medidas de seguridad?

La informática es una ciencia que va de la mano de la protección de datos.

Si bien es cierto que los juristas nos quedamos a menudo en la parte legal, un mínimo conocimiento sobre medidas de seguridad informáticas podría ayudarnos a reforzar la seguridad en nuestra organización.

Antes de entrar en materia cabe destacar los recientes ataques sufridos por los sistemas de información a nivel mundial por el virus Wannacry. Este virus explotaba una vulnerabilidad del sistema operativo Windows que ya había sido detectada.

Incluso el parche de protección contra dicha vulnerabilidad ya había sido publicado en una de las actualizaciones periódicas que Windows publica semanalmente. Pero numerosas organizaciones resultaron infectadas como consecuencia de no mantener una política de actualización de parches de seguridad.

Si nos queremos adentrar un poco más en la seguridad informática, debemos saber que existen protocolos de comunicación entre ordenadores que deben estar protegidos. El utilizado en la actualidad, el TCP/IP, se divide en capas. Y nació de un proyecto del departamento de defensa americano para conectar ordenadores entre ellos.

Seguridad de redes informáticas

Para proteger esta red informática debemos:

• Proteger los cables o la red inalámbrica a través de la que circulan los datos
• Bloquear a determinados usuarios para que no accedan a nuestra red. Por ejemplo, creando un VLAN (virtual local area network), una red privada en nuestra organización, sobre la que aplicaremos cortafuegos y medidas de seguridad
• Proteger las comunicaciones, como los emails, mediante protocolos de cifrado y autenticación. El más conocido y utilizado actualmente para el envío de emails es SSL
• Usar el protocolo “https” que permite una comunicación segura entre el servidor y el usuario (nivel de protección más cercano al usuario).

La seguridad de las redes informáticas es competencia del personal informático, pero no por ello debemos dejar de tener unas nociones básicas.

A un nivel más usuario, debemos garantizar la seguridad de nuestra página web corporativa o nuestro e-commerce.

Para ello es importante contratar con un proveedor de hosting fiable que nos asegure que realiza actualizaciones en sus sistemas.

Es importante también que el gestor interno de nuestra empresa utilice una contraseña de acceso segura y desde ordenadores de confianza.

Así como mantener políticas de contraseñas robustas.

A nivel ya meramente de comportamiento de usuario, es importante concienciar al personal sobre ataques maliciosos recibidos a través del correo electrónico. Principal entrada de virus en las organizaciones.

El INCIBE (Instituto Nacional de Ciberseguridad), sociedad estatal que trabaja para garantizar la ciberseguridad en España, publicó en 2015 un decálogo de medidas de seguridad en el correo electrónico que todos los empleados de una organización deberían tener en cuenta.

¿Qué medidas de seguridad recoge la normativa de Protección de Datos?

El RGPD parte de la necesidad de que el responsable y, en su caso, el encargado del tratamiento realicen un análisis de riesgos teniendo en cuenta:

• el estado de la técnica,
• los costes de aplicación,
• la naturaleza, el alcance, el contexto y los fines del tratamiento, y+
• riesgos de gravedad y posibilidad para los derechos y libertades de las personas físicas.

En particular, en la evaluación del riesgo, el responsable y el encargado del tratamiento tendrán particularmente en cuenta los riesgos que presente el tratamiento de datos. En particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma. O la comunicación o acceso no autorizados a dichos datos.

Es así que, en virtud del riesgo existente, adoptarán y aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo.

En concreto, en el apartado 1 del artículo 32 del RGPD, a título meramente ejemplificativo, se enumeran las siguientes medidas de seguridad:

• Seudonimización y el cifrado de los datos personales
• Competencia para proteger la integridad, confidencialidad, resiliencia y disponibilidad permanentes de los sistemas y servicios de tratamiento
• Aptitud para restablecer la disponibilidad y el acceso a los datos personales rápidamente en caso de incidente físico o técnico
• Procedimiento de comprobación, evaluación y estimación regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

Regulación en la LOPDGDD

En el caso de la LOPDGDD, su disposición adicional primera se refiere específicamente al ENS.

Aquí señala que “añadirá las medidas que deban aplicarse en caso de tratamiento de datos personales, para evitar su alteración, pérdida o acceso no autorizado”. Y prevé su adecuación a lo dispuesto en el artículo 32 del RGPD.

También establece que las entidades enumeradas en el artículo 77.1 LOPDGDD impulsarán la aplicación de medidas equivalentes en las empresas o fundaciones vinculadas a los mismos sujetas al Derecho privado.

Y, si un tercero presta un servicio en régimen de concesión, encomienda de gestión o contrato, “las medidas de seguridad se corresponderán con las de la Administración pública de origen y se ajustarán al Esquema Nacional de Seguridad”.

Integrar estas medidas de seguridad en tu día a día te ayudará a no perder información importante en tu empresa. Además de mantenerte siempre al día en el cumplimiento de la normativa de Protección de Datos.

Espero que hayas entendido la importancia de aplicar unas adecuadas medidas de seguridad de la información. Y si tienes cualquier duda, estaré encantada de ayudarte.