Protección de datos y medidas de seguridad

Protección de datos y medidas de seguridad

Cuando hablamos de seguridad de la información lo hacemos desde la dimensión de la preservación de la confidencialidad, la integridad y la disponibilidad de los activos de información y, por ello, a la hora de confirmar que el modo en que se trata la información es seguro, hay que considerar esas tres dimensiones:

Confidencialidad: propiedad de la información, por la que se garantiza que está accesible únicamente a personal autorizado a acceder a la misma.

¿Qué medidas debemos aplicar para conseguir esta confidencialidad? Entre otras…

  • Firmar contratos en este sentido, con empleados, proveedores con acceso a datos, autónomos…
  • Almacenar los documentos en papel y soportes electrónicos en lugar seguro.
  • Desechar documentos o soportes electrónicos (cd, pen drives, discos duros, etc.) con datos personales garantizando su destrucción. Es recomendable contar con una destructora con unos requisitos mínimos.
  • Se garantizará la existencia de contraseñas para el acceso a los datos personales almacenados en sistemas electrónicos. Se recomienda que la contraseña tenga al menos 8 caracteres, mezcla de números y letras.
  • Hay que poner especial atención en el uso del correo electrónico: Las comunicaciones, tanto por correo electrónico como por otros medios como redes sociales, pueden ser el origen de la difusión indebida de información confidencial, incluidas contraseñas y credenciales de acceso por desconocimiento, error o con intención.
  • Para la gestión de las contraseñas puede consultar la guía de privacidad y seguridad en internet de la Agencia Española de Protección de Datos y el Instituto Nacional de Ciberseguridad

Integridad: precisión, integralidad y fiabilidad de los datos a lo largo de su ciclo de vida.

¿Cómo protegemos la integridad? A modo enunciativo y no limitativo…

  • La información almacenada en sistemas de almacenamiento com­partido o en la nube puede ser manipulada, destruida o divulgada si no se toman las mismas medidas para garantizar su seguridad (control de acceso, cifrado…) que para el almacenamiento en local.
  • El software que trata la información puede tener vulnerabilidades y, si no se actualiza con frecuencia, podría ser objeto de todo tipo de ataques, accesos no autorizados, infecciones con malware, etc.
  • Los dispositivos personales, móviles y tabletas con sus apps, que se usan para acceder a recursos de la empresa, de no estar correc­tamente configurados, pueden dar lugar a fugas de información.

 

Disponibilidad: Asegura que los usuarios autorizados pueden acceder a la información cuando la necesitan.

¿Qué tenemos que tener en cuenta para que los datos puedan estar disponibles?

  • Se debe disponer y seguir una correcta po­lítica de copias de seguridad: la frecuencia con la que se van a realizar los procesos de copia influye en la cantidad de información que se puede perder con respecto a la fuente original. Este parámetro es de suma importancia y requiere de un análisis exhaustivo.
  • Debemos buscar una probabilidad de error mínima, asegurándose de que los datos son copiados íntegramente del original y en unos soportes fiables y en buen estado. No se deben utilizar soportes que estén cerca de cumplir su vida útil para evitar que fallen cuando vaya a recuperarse la información que contienen.
  • Controlar los soportes que contienen las copias, guardándolos en un lugar seguro y restringiendo su acceso sólo a las personas auto­rizadas.
  • Proveer métodos de recuperación de la información y la actividad en caso de fallos téc­nicos, accidentes o desastres.

Como se ha podido detectar, las medidas aplicadas para salva guardar las tres dimensiones están 1302interrelacionadas entre sí.

Estas medidas, que se concretarán en distintas políticas y se dirigen a definir:

  1. Ubicaciones y dispositivos permitidos para el almacenamiento y uso de la información según su criticidad.
  2. Cifrado de información crítica en tránsito o en almacenamiento.
  3. Control de acceso a la información almacenada y a los servicios y pro­gramas para su tratamiento; permisos por roles, contraseñas robustas…
  4. Control de uso de dispositivos externos de almacenamiento y de móviles o tabletas.
  5. Control del uso de almacenamiento y servicios en la nube.
  6. Destrucción segura de la información una vez terminada su vida útil.
  7. Copias de seguridad y planes de recuperación.
  8. Según la actividad de la empresa, archivado seguro de la informa­ción que se deba conservar y de los registros de actividad como ga­rantía del cumplimento legal o normativo que aplique.

Estas medidas, constituyen unos “mínimos” ya que, será cada empresa en el estudio de su información, la que decidirá qué medidas son las más acordes para proteger su información, pues todos estamos expuestos a incidentes de seguridad que pueden provocar perdidas de información.

Las causas por las cuales se producen las pérdidas de acceso a la informa­ción, afectando tanto a su integridad como a su disponibilidad, son múlti­ples y en muchos casos previsibles. Entre ellas destacan las siguientes:

  • Fallos mecánicos en los dispositivos de almacenamiento: causados bien por motivos externos (como cortes de suministro eléctrico o picos de tensión en la red eléctrica), o internos de los propios dispositivos (por ejemplo, por degradación de las piezas mecánicas al final de la vida útil de los mismos).
  • Errores humanos: por borrado o formateo de las unidades de al­macenamiento o por manipulación indebida de los dispositivos. A veces la mala preparación del personal y la toma de decisiones erróneas a la hora de intentar recuperar la información tras un in­cidente son las causas de estos errores.
  • Fallos en el software utilizado: fallos imprevistos en los sistemas operativos por reinicios inesperados o mal funcionamiento de las propias herramientas de diagnóstico.
  • Virus o software malicioso: ya que en ocasiones los programas instalados en los ordenadores buscan causar un fallo en el sistema o bien el deterioro o el robo de información enviándola a un equi­po remoto.
  • Desastres naturales o estructurales: como incendios e inunda­ciones que causan la destrucción de las instalaciones donde se en­cuentran los equipos.

Fuentes: https://es.wikipedia.org

https://www.incibe.es/sites/default/files/contenidos/guias/doc/guia_ciberseguridad_almacenamiento_seguro_metad_0.pdf

 

 



× Contacto WhatsApp