Por ello, tanto la ISO/IEC 27001 como el Esquema Nacional de Seguridad recomiendan avanzar hacia modelos de autenticación más sólidos, especialmente la autenticación multifactor. Combinar algo que el usuario sabe, algo que posee y, en determinados casos, algo que es, eleva de forma notable el nivel de protección frente a ataques automatizados y accesos no autorizados.

En entornos reales, esto se traduce en el uso de certificados digitales, aplicaciones de generación de códigos temporales o dispositivos físicos de seguridad. El ENS es especialmente claro al exigir factores reforzados en accesos remotos o a información sensible, mientras que la ISO 27001 subraya la necesidad de que estas decisiones se basen en un análisis de riesgos previo.

La clave no está en elegir soluciones coherentes con el contexto y el impacto potencial. Una autenticación bien diseñada no solo protege sistemas: protege el negocio, a las personas y la confianza depositada en la organización.

IMPORTANTE

Las contraseñas no bastan; la autenticación multifactor, basada en riesgos, refuerza la seguridad y protege los sistemas.

La entrada Mecanismos de autenticación: cómo reducir ataques y accesos indebidos a los sistemas se publicó primero en Adaptación RGPD.

Este tipo de brechas representan más del 20% de las notificaciones recibidas por la AEPD. Para minimizar los riesgos, es fundamental aplicar medidas de seguridad efectivas.

El cifrado de datos en el dispositivo es clave para evitar accesos no autorizados. Además, contar con copias de seguridad en soportes externos permite garantizar la disponibilidad de la información ante incidentes. Asimismo, es imprescindible usar una contraseña robusta o autenticación segura para bloquear el acceso al dispositivo.

Las organizaciones deben regular el uso de dispositivos portátiles en su política de seguridad, definiendo qué información puede almacenarse, qué dispositivos están permitidos y qué medidas deben aplicarse. También es esencial capacitar a los empleados en buenas prácticas de seguridad.

Finalmente, la conveniencia de utilizar estos dispositivos debe revisarse periódicamente dentro del plan de gestión de riesgos, asegurando la implementación de medidas adecuadas.

IMPORTANTE

Se deben establecer mecanismos de autenticación y credenciales robustos en los sistemas operativos para minimizar riesgos.

La entrada Adopción de medidas de seguridad orientadas a la protección de datos personales (II) se publicó primero en Adaptación RGPD.

En un entorno cada vez más digitalizado cualquier empresa puede ser un potencial objetivo de sufrir un ciberataque. Es por ello que se hace necesario contar con una buena gestión del riesgo que proteja los datos personales de los que somos responsables.

La mayoría de los incidentes de seguridad no se corresponde con ciberataques sofisticados. En muchos casos, se podría haber minimizado con un análisis de riesgos y aplicando medidas de seguridad básica.

En este documento de la AEPD se indican cuáles son el Top 5 de las medidas técnicas de seguridad:

1ª Usar contraseñas seguras y actualizadas regularmente. Es importante implementar un segundo factor de autenticación.

2ª Crear una política clara de cómo realizar las copias de seguridad.

3ª Mantener software y sistemas operativos al día con parches de seguridad y rastrear actualizaciones periódicas.

4ª Restringir accesos mediante políticas estrictas y usar VPNS o proxies inversos.

5ª Cifrar dispositivos portátiles, memorias y copias externas para evitar filtraciones en caso de robo o pérdida.

IMPORTANTE

Se deben aplicar medidas técnicas de seguridad para evitar incidentes de confidencialidad, integridad y disponibilidad.

La entrada Adopción de medidas de seguridad orientadas a la protección de datos personales (I) se publicó primero en Adaptación RGPD.

El Reglamento General de Protección de Datos (RGPD) de la Unión Europea ha establecido un marco legal que obliga a los responsables de los tratamientos de datos personales a evaluar los riesgos y aplicar medidas de seguridad técnicas y organizativas adecuadas. La seguridad enfocada a los tratamientos implica considerar la naturaleza, el alcance, el contexto y los fines del tratamiento, así como los riesgos para los derechos y libertades de las personas naturales.

Un ejemplo ilustrativo de la diferencia entre la seguridad de los sistemas y la seguridad de los tratamientos es el uso de contraseñas. A menudo, las personas utilizan la misma contraseña o contraseñas débiles en varios servicios, lo que permite a terceros acceder a datos personales a través de credenciales comprometidas. En estos casos, algunos responsables de tratamientos de datos pueden argumentar erróneamente que no ha ocurrido una brecha según el RGPD, ya que el sistema de información funcionó correctamente. Sin embargo, esto ignora el hecho de que la seguridad del tratamiento de datos personales ha sido comprometida.

La guía para la notificación de brechas de datos personales de la Agencia Española de Protección de Datos (AEPD) proporciona una herramienta valiosa para los responsables de los tratamientos de datos personales, ayudándoles a cumplir con sus obligaciones de notificación a las autoridades de control y comunicación a las personas afectadas. Esta guía enfatiza la importancia de reconocer una brecha de datos personales y actuar de manera adecuada para minimizar los riesgos y proteger a los individuos afectados.

Un ejemplo es el Esquema Nacional de Seguridad (ENS) representa un marco normativo fundamental en el contexto de la seguridad de la información en España, especialmente relevante tanto para las entidades del sector público como para las empresas privadas que interactúan con ellas. Este esquema establece una serie de requisitos y medidas destinadas a garantizar la seguridad de los sistemas de información que manejan, procesan o almacenan datos pertenecientes al sector público.

Además, el ENS no solo se limita a las entidades públicas, sino que también se extiende a las empresas privadas que proporcionan servicios o soluciones tecnológicas a las administraciones públicas. Esto significa que cualquier compañía privada que trabaje en colaboración con el sector público, debe adherirse a los estándares y prácticas de seguridad dictados por el ENS para asegurar la protección y la integridad de la información.

No obstante, el ENS también reconoce la importancia de la protección de datos personales y, por ello, en su artículo 3, hace una mención específica a la regulación de datos personales. Según este artículo, en los casos en que un sistema de información del sector público o privado que esté bajo el ámbito de aplicación del ENS se utilice para procesar datos personales, dicho sistema deberá cumplir con lo establecido en el Reglamento General de Protección de Datos (RGPD) y la legislación correspondiente en materia de protección de datos.

El RGPD es una normativa de la Unión Europea que busca fortalecer y unificar la protección de datos para todos los individuos dentro de la UE. Es conocido por su enfoque en dar control a los ciudadanos sobre sus datos personales y por las estrictas medidas que impone a las organizaciones que procesan estos datos. Por lo tanto, la referencia del ENS al RGPD subraya la necesidad de una doble capa de seguridad y cumplimiento normativo cuando se trata de sistemas de información que manejan datos personales.

En resumen, el ENS y el RGPD son dos pilares que trabajan conjuntamente para asegurar que los sistemas de información, ya sean del sector público o privado, operen dentro de un marco de seguridad robusto y respetuoso con la privacidad de los datos personales. Esto refleja un compromiso con la seguridad de la información y la protección de la privacidad en la era digital, aspectos críticos para la confianza y el buen funcionamiento de la sociedad y las instituciones.

En conclusión, la seguridad enfocada a los tratamientos de datos personales es un concepto que va más allá de la protección de los sistemas de información. Requiere una comprensión profunda de los procesos de tratamiento y los riesgos asociados, así como un compromiso con la protección de los derechos individuales. Con la implementación efectiva de medidas de seguridad y una respuesta rápida a las brechas de datos, podemos aspirar a un entorno digital más seguro y confiable para todos.

La entrada Brechas de datos personales. La seguridad enfocada a los tratamientos de datos se publicó primero en Adaptación RGPD.

Una de estas medidas son las copias de seguridad. Dependiendo del tamaño y necesidades de la empresa el procedimiento para realizar copias de seguridad puede ser distinto. El soporte dependerá del sistema de copia, de la fiabilidad que necesitemos y de la inversión a realizar.

En la implantación de un sistema de copias debemos tener en cuenta:

• El análisis de información sobre la que se va a realizar la copia, las configuraciones de dispositivos de red y los equipos de usuarios.
• Definir el número de versiones que vamos a almacenar de cada elemento guardado, y su periodo de conservación. Así, por ejemplo, si el volumen de información es bajo, se puede realizar una copia total diaria.
• Realizar pruebas de restauración periódicas.
• Disponer de una copia de seguridad fuera de la organización, para evitar la pérdida de información en caso de incendio, robo o inundación.
• Documentar el proceso de realización de copia y restauración.

IMPORTANTE

Si utilizamos proveedores de almacenamiento en la nube debemos seleccionar aquellos que nos garanticen una mayor seguridad en el almacenamiento y recuperación de la información.

La entrada Copias de seguridad: medida imprescindible para proteger la información de la empresa se publicó primero en Adaptación RGPD.

Hoy en día el acceso a la información de la empresa no es solamente local e interno. La tecnología permite que los servicios y aplicaciones que ofrecemos a nuestros clientes se haga de forma remota o bien a través de aplicaciones en la nube. Los usuarios/as y empleados acceden a la información de la empresa través de Internet con los dispositivos digitales, en algunos casos facilitados por la empresa y en otros casos con dispositivos propios. El control de accesos se ha hecho más complejo.

Para realizar un control de acceso adecuado se ha de establecer una política de acceso que defina una gestión de usuarios y una segregación de funciones. Esta política se caracteriza por el principio de mínimo conocimiento, conocido como need-to-know. Este principio consiste en que cada persona de la organización accederá solamente a lo que necesita saber para realizar sus funciones.

IMPORTANTE

El control de acceso a la información de la empresa es necesario para la prevención de situaciones de fugas de información del personal interno o borrado de información.

La entrada ¿Por qué es importante implementar una política de control de acceso en nuestra empresa? (I) se publicó primero en Adaptación RGPD.

Este Plan nos ayudará a determinar los aspectos siguientes en la empresa:

• Determinar el punto de partida de la empresa definiendo cuáles son los procesos críticos de la organización, los empleados y los equipos y activos esenciales para el funcionamiento de nuestra empresa.
• Determinar el nivel de seguridad que queremos alcanzar según las características de la empresa, el sector del negocio y los objetivos estratégicos, entre otros.
• En su realización no tenemos que olvidarnos de la importancia del análisis de riesgos que permitirá la elaboración de planes personalizados y adecuados a cada empresa de forma particular.

Este Plan de Ciberseguridad es una guía para conocer cuáles serán los productos de seguridad más adecuados para nuestra empresa, además de las normas de uso interno necesarias para aplicar los cambios en nuestra empresa y estar ciberprotegidos.

IMPORTANTE

La ciberseguridad supone un proceso que toda empresa debería implantar y revisar de forma periódica ya que las ciberamenazas evolucionan muy rápidamente.

La entrada ¿Que hacer para que mi empresa esté Ciberprotegida? se publicó primero en Adaptación RGPD.

¿Qué tipo de brechas de seguridad de datos personales se tienen que hacer frente? Es muy importante conocer la tipología y a qué dimensiones de la seguridad de los datos personales ha afectado la brecha.

1. A) Brecha de confidencialidad: aquellos casos en que no se tiene autorización para acceder a la información, revelación no autorizada o accidental de los datos personales.
2. B) Brecha de integridad: cuando se modifica la información original y se sustituye por otra causando un perjuicio al afectado.
3. C) Brecha de disponibilidad: se produce una pérdida de acceso accidental o no autorizada a los datos personales o bien se produce su destrucción.

IMPORTANTE
El responsable del tratamiento debe comunicar a la AEPD en el plazo máximo de 72hrs las brechas de seguridad que supongan un riesgo para los derechos y libertades de las personas.

La entrada La seguridad de los datos personales (II) se publicó primero en Adaptación RGPD.

La clasificación de la información se puede establecer en varias categorías:

• Confidencial: es una información muy sensible para la empresa, incluida aquella que contenga datos de carácter personal de categorías especiales, a la que solo puede tener acceso la Dirección y el personal autorizado para el desarrollo de sus funciones. Deberíamos implementar los controles necesarios para limitar ese acceso.
• Interna: se trata de aquella información que es accesible a todo el personal y que todos deberían de conocer, por ejemplo, las políticas de seguridad y de protección de datos de la entidad. Esta información no debería difundirse a terceros, a menos que exista una autorización de la persona responsable de garantizar la seguridad de la información.
• Pública: es una información que la empresa ha hecho pública, por ejemplo, a través de su página web corporativa o bien, en catálogos dirigidos a los clientes. Este tipo de información no requiere de control especial.

IMPORTANTE

Después de realizar la clasificación de la información es necesario valorar su criticidad y determinar su riesgo para aplicar las medidas técnicas y organizativas.

La entrada ¿Cómo puedo proteger la información de mi empresa? (I) se publicó primero en Adaptación RGPD.

Un análisis de seguridad es un proceso que evalúa la seguridad de los sistemas informáticos y las redes de una empresa. Este análisis busca identificar vulnerabilidades y riesgos potenciales que podrían poner en peligro la seguridad de los datos. Un buen análisis de seguridad puede ayudar a las empresas a detectar y solucionar problemas de seguridad antes de que se conviertan en una amenaza real.

El RGPD establece una serie de requisitos que las empresas deben cumplir para proteger los datos personales de los ciudadanos de la UE. Estos requisitos incluyen la implementación de medidas técnicas y organizativas adecuadas para garantizar la seguridad de los datos. Para cumplir con estos requisitos, las empresas deben realizar un análisis de seguridad completo y tomar medidas para proteger sus sistemas y redes.

La implementación de medidas adecuadas de seguridad es esencial para cumplir con el RGPD. Las empresas que no cumplen con los requisitos del RGPD pueden enfrentar sanciones financieras y dañar su reputación. Además, los clientes pueden perder la confianza en una empresa que no protege adecuadamente sus datos personales.

Un buen análisis de seguridad puede ayudar a las empresas a cumplir con los requisitos del RGPD y proteger los datos personales de sus clientes. Al realizar un análisis de seguridad completo, las empresas pueden identificar vulnerabilidades y riesgos potenciales y tomar medidas para mitigarlos. Además, un análisis de seguridad regular puede ayudar a las empresas a mantener sus sistemas y redes seguros y actualizados.

En resumen, un buen análisis de seguridad es esencial para cumplir con los requisitos del RGPD y proteger los datos personales de los ciudadanos de la UE. Las empresas que no implementan medidas adecuadas de seguridad pueden enfrentar sanciones financieras y dañar su reputación. Por lo tanto, es importante que las empresas realicen un análisis de seguridad completo y tomen medidas para proteger sus sistemas y redes.

En Adapta RGPD realizamos los análisis de seguridad más exhaustivos a fin de cumplir los requisitos íntegros del RGPD y la LOPDGDD.

La entrada Análisis de Seguridad en el Cumplimiento del RGPD se publicó primero en Adaptación RGPD.