Claves para evitar brechas de seguridad. ¿Qué medidas técnicas debes tener en cuenta?

Cumplir con las obligaciones de responsabilidad proactiva del RGPD en el tratamiento de los datos personales marca la necesidad de que las empresas apliquen medidas técnicas de protección.

El momento actual en el que vivimos donde el teletrabajo y las comunicaciones electrónicas han experimentado un gran crecimiento, vital para el desarrollo de la actividad de muchas organizaciones, también es un periodo de máxima alerta en el que las empresas se exponen a riesgos y amenazas para las que deben estar preparadas. Por esta razón y con el objetivo de facilitar una adecuada gestión del riesgo potencial al que se exponen, la AEPD recopila las principales medidas técnicas que se deben aplicar para evitar las brechas de seguridad y minimizar su impacto en el caso de que lleguen a producirse:

Establecer contraseñas seguras con factor de doble autenticación:
– Almacenarlas de manera cifrada,
– Actualizarlas periódicamente,
– Diferenciarlas para cada servició o área,
– Proteger los sistemas o datos más críticos con un segundo nivel de confirmación en el que se facilita el acceso a través de elementos biométricos como puede ser la huella dactilar o códigos que identifiquen cada uso o acceso por parte de diferentes usuarios,
Realizar copias de seguridad:
Una de las principales amenazas para la actividad de muchos negocios es el ataque conocido como Ransomware por el que los ciberdelincuentes controlan información importante de la actividad empresarial a través del cifrado de los datos que contienen sus equipos. La solución que ofrecen, tras un rescate económico o bajo otro tipo de amenaza, está en una contraseña de descifrado que desbloquee la información secuestrada.

Frente a este problema, la mejor protección es incorporar una política de copias de seguridad en la que se tendrá que:

– Clasificar y determinar qué información deberá almacenarse en copias de seguridad tras analizar el nivel de confidencialidad de los datos, la utilidad que aportan al funcionamiento de la empresa y el impacto que puede generar su pérdida, ya sea a nivel de consecuencias legales, económicas o daños de reputación;

– Determinar la periodicidad y el tipo de copias que se realizarán en base a los datos que se almacenen y las obligaciones legales que se deban cumplir (entre ellas se encuentran las copias que se hacen a medida que se trabaja, las que incluyen todos los datos disponibles, las parciales o aquellas que copian la nueva información incluida tras la última versión);

– Elegir el soporte adecuado en base a las necesidades de la empresa: cintas magnéticas, discos duros, la nube o discos ópticos, siempre valorando previamente la seguridad de los dispositivos y su posible deterioro;

– Mantener tres copias de los ficheros importantes, almacenándolas en dos soportes diferentes y, una de ellas, fuera de la propia empresa;

– Planificar el borrado seguro y la gestión de soportes contratando un proveedor que asegure la destrucción certificada;

– Comprobar periódicamente el correcto funcionamiento del sistema de copias se seguridad elegido, asegurándose de que permiten un proceso de copia manual en caso de necesidad;

– Documentar el proceso de realización y restauración de copias;

Actualizar los sistemas operativos
La actualización de sistemas operativos y programas informáticos a las últimas versiones disponibles es clave para reforzar la protección de equipos o aplicaciones frente a Ciberataques.

Analizar la exposición de los servicios en Internet
Se deberá elaborar una política de servicios expuestos en Internet en la que se incluirán aquellos que corren más riesgo y, por lo tanto, deben protegerse especialmente y en la que se calcularán las probabilidades que tienen de sufrir ciberataques. Muy relacionado con este punto, es necesario controlar los accesos en remoto, elaborando una lista de los usuarios que disponen de este tipo de acceso temporal y asegurándose que utilizan factores de autenticación fuerte (por ejemplo, a través de contraseñas de un único uso).

Cifrar los dispositivos
Incluir medidas de cifrado en dispositivos portátiles como ordenadores, teléfonos, tabletas, memorias USB o discos duros externos, aplicando el principio de minimización de datos por el que se deben almacenar la menor cantidad de datos personales y durante el menor tiempo posible. También habrá que implementar credenciales de autenticación y patrones o claves de desbloqueo suficientemente robustas y seguras.

Más información de interés para estar al día en materia de Ciberseguridad

Desde Confianza Online te recomendamos que te documentes más en profundidad a través de los materiales y avisos que facilitan organismos cómo:

INCIBE
AEPD
Estrategia de Ciberseguridad Nacional
Grupo de Delitos Telemáticos de la Guardia Civil
Centro Criptológico Nacional

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *