Buscar
Cerrar este cuadro de búsqueda.

Brechas de seguridad: como protegernos.

 

 

Una de cada cuatro pymes europeas sufren brechas de datos en 2019

Una de cada cuatro (25%) pequeñas empresas europeas (menos de 50 empleados) ha sido víctima de brechas de datos en 2019, según una reciente encuesta de Kaspersky. A pesar de que las consecuencias de un incidente de este tipo pueden ser serias, la investigación reveló que las medidas de seguridad que se adoptan para evitar estos casos suelen ser insuficientes.

El estudio muestra, además, que algunas pequeñas empresas europeas utilizan productos de consumo para proteger sus equipos (20%) y aunque éstos pueden proporcionar un nivel básico de protección, las soluciones para usuarios domésticos no cuentan con las funcionalidades específicas necesarias para la seguridad empresarial. Por ejemplo, sólo los productos para entornos corporativos ofrecen protección para servidores o gestión centralizada.

En materia de seguridad informática, la empresa siempre tiene que ponerse en el peor escenario posible y prepararse para hacerle frente.
Esta debería ser la máxima a la hora de preparar una estrategia de copia de seguridad para los datos de una empresa.

El peor escenario no es sufrir un ataque informático con ransomware que bloquee toda la operativa de la empresa, o ser damnificado en un desastre natural como las inundaciones o incendios que han asolado gran parte de la península en los últimos meses. El verdadero desastre es no contar con una copia de seguridad de los datos para recuperar la actividad de la empresa en el menor tiempo posible.

La estrategia de seguridad informática de las empresas debe poner todos los medios y sistemas posibles para proteger la integridad de sus datos. Sin embargo, también debe estar preparada para reaccionar de la forma más rápida posible si todo falla.

Lo más importante para que una copia de seguridad sea realmente eficiente en un escenario de crisis es que la copia de seguridad esté actualizada. Solo de ese modo pueden minimizarse los daños y pérdidas para la empresa que provocaría la pérdida de datos y capacidad operativa.
En este sentido, cada empresa debe fijar la periodicidad de sus copias de seguridad. Es posible que a una pyme le baste con una copia de seguridad diaria por no tener mucha actividad administrativa, pero en una gran empresa es probable que sea necesaria una política mucho más estricta con copias de seguridad cada hora.

Para prevenir, la mejor alternativa es guardar duplicados de la copia de seguridad en un lugar seguro externo a la empresa y, a ser posible, en diferentes soportes. Creando duplicados de las copias de seguridad en distintos dispositivos y/o formatos, se tiene la certeza que, aunque uno de los discos sufra un fallo físico que lo inutilice, siempre existirá una segunda versión en la nube o en cualquier otro soporte de almacenamiento distinto desde el que recuperar los datos.

Ver las imágenes de origen

Los peligros de las amenazas internas

Las amenazas internas suponen un peligro diferente, pero de igual gravedad, para la seguridad de las empresas. En el caso de la mayoría de las amenazas externas, el mayor desafío es conseguir acceso a la empresa que se desea atacar; mientras que en -las amenazas internas, por su propia naturaleza, ya cuentan con ese acceso. Esto da lugar a que casi todas las medidas de seguridad perimetral tradicionales de las que disponga una empresa sean ineficaces contra este tipo de amenazas.
En la mayoría de los casos, los responsables de estas amenazas internas son empleados o contratistas autorizados con credenciales válidas y acceso físico a las instalaciones de la empresa, lo que hace mucho más difícil que el personal de seguridad pueda protegerse contra ellos. Es importante tener en cuenta que no todas las amenazas internas son maliciosas. En muchas ocasiones, se trata simplemente de empleados descuidados que hacen clic en enlaces de correo electrónico o archivos adjuntos de carácter dañino sin darse cuenta, usan redes wifi públicas no seguras o, accidentalmente, olvidan sus portátiles en un sitio público. Independientemente de las intenciones de los usuarios, cualquier violación de la seguridad de los datos puede provocar pérdidas económicas, así como dañar la reputación de una empresa.

 

Ver las imágenes de origen

Protégete ante la pérdida o robo de un dispositivo portátil

A continuación exponemos los consejos que nos da la AEPD: formas de prevenir las brechas de seguridad y cómo actuar una vez que éstas se han producido

¿Qué riesgos supone el uso de estos dispositivos?

En un mundo totalmente globalizado e interconectado, es habitual en el día a día intercambiar información o tenerla disponible para poder utilizarla en múltiples localizaciones y de forma flexible, tanto a nivel personal como a nivel profesional.
El uso de dispositivos portátiles se ha popularizado por su gran versatilidad y precios asequibles, lo que nos facilita tener a mano los informes en los que estamos trabajando, la presentación que tenemos que realizar, fotografías, o en definitiva cualquier información que necesitemos utilizar de manera flexible desde diversos equipos. Teléfono inteligente, tableta y ordenador portátil son hoy en día herramientas imprescindibles en el trabajo.

De la principal ventaja de este tipo de dispositivos, que es precisamente la portabilidad, surge un factor de riego adicional muy importante, como es la posibilidad de pérdida o robo de estos dispositivos. Adicionalmente, no se debe olvidar que estos dispositivos, como cualquier otro dispositivo informático, se enfrentan a muchos otros tipos de riesgos que deberán ser tratados adecuadamente.

En caso de pérdida o robo de un dispositivo de este tipo estaremos ante una brecha de confidencialidad por posibles accesos indebidos a los datos almacenados en el dispositivo y/o brecha de disponibilidad en caso de no tener una copia recuperable de los datos. Precisamente, este tipo de brechas de seguridad representa más del 20% de las notificaciones recibidas en la AEPD relacionadas con estos incidentes, por lo que resulta muy interesante poner de manifiesto qué medidas de seguridad pueden ayudar a mitigar las consecuencias negativas de la pérdida o robo de un dispositivo de este tipo.

Medidas de seguridad

Como norma general, y atendiendo a los principios establecidos en el RGPD, se deben minimizar los datos personales almacenados/procesados en dispositivos portátiles, utilizándolos para acceso remoto a los mismos en la medida de lo posible.
Hay tres medidas de seguridad particularmente efectivas para minimizar los posibles daños causados por una brecha de seguridad debida a la pérdida o robo de un dispositivo portátil.
El cifrado de los datos en el dispositivo es una medida efectiva para evitar el acceso no autorizado a los datos en caso de pérdida o robo. Es importante recordar que los datos personales, aunque estén cifrados, siguen siendo datos de carácter personal.

Mantener una copia de los datos en otro soporte o copia de seguridad es una medida efectiva para combatir la pérdida de disponibilidad de los datos.

Contar con una contraseña de bloqueo de pantalla y/o autenticación de usuario en el dispositivo igualmente robusta y conservada de forma segura. Esta última medida de seguridad no es aplicable a dispositivos de almacenamiento extraíbles.

Las tres medidas son importantes, cada una es efectiva sobre diferentes aspectos de la seguridad de los dispositivos, por lo que deben utilizarse de forma conjunta.
En teléfonos inteligentes y tabletas relativamente actuales, la opción de cifrado suele estar activada por defecto, pero es necesario comprobar que efectivamente está activada y que se ha seleccionado un clave de cifrado suficientemente robusta que debe ser mantenida de forma segura.

En todo caso, antes de utilizar dispositivos portátiles, cualquier organización debería regular en la política de seguridad su uso basándose en un análisis de los riesgos que presentan según las características particulares de los tratamientos de datos que realiza.

En la política de seguridad se debe establecer si se permite o no su utilización, y en caso afirmativo, cuáles son las medidas a aplicar para minimizar el riesgo, como por ejemplo establecer qué tipo de dispositivos se pueden utilizar; qué tipo de información se puede almacenar en estos dispositivos; las categorías de datos; establecer limitaciones de tamaño; autorizar únicamente aquellos que sean estrictamente necesarios; mantener un inventario de estos dispositivos; garantizar la seguridad de los dispositivos y/o equipos a los que se conectan; formar y concienciar a los empleados sobre los riesgos, así como de la necesidad de cifrar y hacer copias de seguridad. Sobre todo, se debe ser consciente del riesgo de pérdida o robo de estos dispositivos y tener previsto un plan de actuación para poder responder lo más rápidamente y de forma efectiva.

Tanto la efectividad de las medidas aplicables, como la conveniencia de utilizar estos dispositivos o sustituirlos por otras soluciones, debe revisarse periódicamente dentro de los planes de gestión del riesgo de la organización.

¿Qué hacer en caso de pérdida o robo?

En cuanto tengamos indicios de la pérdida o robo de un dispositivo debemos empezar a actuar lo antes posible.
En caso de que el dispositivo contenga datos de carácter personal se tendrá que, como mínimo, hacer frente a las obligaciones establecidas en los artículos 33 y 34 del RGPD. En general, el primer paso será poner el incidente en conocimiento del responsable de tratamiento para que se pueda activar el plan de actuación. El responsable tiene que saber exactamente qué información contenía el dispositivo y disponer de un plan de actuación para poder gestionar el incidente de seguridad.

En particular, si se trata de una brecha de seguridad que afecta a datos personales se deberá notificar la misma a la AEPD cuando exista un riesgo para los derechos y libertades para las personas físicas dentro del plazo de 72h desde que se conoce el incidente. Además, se deberá comunicar a los afectados cuando este riesgo sea alto.
La valoración de estas circunstancias y la decisión sobre notificar a la AEPD y a los afectados corresponde al responsable de tratamiento.

En general, para dispositivos de almacenamiento extraíbles, siempre que los dispositivos estén cifrados con un algoritmo criptográficamente fuerte, la clave de cifrado sea robusta y no se haya visto comprometida, y se disponga de una copia de seguridad de los datos, se podría considerar que la confidencialidad e integridad de los datos no están comprometidas y por tanto no es necesario notificar la brecha a la AEPD ni a los afectados, siempre y cuando el riesgo principal derive de la falta de disponibilidad de dicha información.

Para el caso de dispositivos con sistema operativo, como son teléfonos inteligentes, tabletas y ordenadores portátiles, habrá que considerar además si los mecanismos y las credenciales de autentificación de usuarios en el sistema operativo, o patrón/clave de desbloqueo en caso de teléfonos inteligentes y tabletas, son suficientemente robustas y no han sido comprometidas para tomar la decisión de notificar la brecha de seguridad.
En cualquier caso, los detalles de la brecha de seguridad deberán quedar registrados en el registro de incidentes de seguridad de la organización.

Artículos relacionados