Capítulo III Medidas de seguridad. Cuando la copia de seguridad no es suficiente: protección reforzada a través del cifrado.

La copia de seguridad, en la actualidad conocida como Backup, es un procedimiento esencial para la protección de los activos de información de carácter confidencial e interna para toda entidad y, por consiguiente, es uno de los principales objetivos de los delincuentes informáticos. Toda entidad necesita proteger los datos que son objeto de tratamiento, específicamente las categorías especiales de datos, a saber: ideología, religión, origen racial o étnico, afiliación sindical, filosofía y opiniones políticas, orientación sexual, datos biométricos o genéticos y datos relativos a la salud. Así, aquellas entidades que realicen un tratamiento de datos de carácter personal deben reforzar la seguridad de sus sistemas de protección, almacenamiento y recuperación de los datos, principal activo en el tráfico mercantil en la actualidad en que se fundamenta el desarrollo del negocio.

La copia de seguridad se incluye dentro de la Política de seguridad de la entidad, y es mucho más que una simple duplicación de la información alojada en los sistemas de información corporativos. Así, el primer paso para ejecutar una protección reforzada en los sistemas de copia de seguridad de la entidad consiste en diseñar una estrategia de copia de seguridad en función del tipo y cantidad de activos información objeto del tratamiento.

A continuación, cabe señalar que la política de copia de seguridad deberá fundamentarse en el cumplimiento de la normativa de protección de datos personales conforme a la legislación vigente, a saber: el RGPD [Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE]; y la normativa de adaptación al marco normativo comunitario en el ordenamiento jurídico nacional a través de la LOPDGDD (Ley 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales). Asimismo, a partir de la cantidad de los archivos almacenados y la heterogénea categorización de los datos de carácter personal, así como el coste del servicio de almacenamiento, corresponderá a la entidad la determinación del tipo de copia de seguridad de mayor conveniencia. A este respecto, la anterior legislación vigente en materia de protección de datos personales, tomando como referencia el art. 32 RGPD, nos obliga a garantizar la seguridad de los datos personales objeto de tratamiento; en este caso, consistente en realizar periódicamente una copia de seguridad así como el establecimiento de un procedimiento específico de protección, verificación y pronta recuperación de los datos almacenados.

A este respecto, tomamos como referencia un artículo anterior de este blog sobre la importancia de realizar copias de seguridad a nivel corporativo. En esta línea, de conformidad con la Guía para la realización de copias de seguridad del Instituto Nacional de Ciberseguridad (INCIBE), se recomienda realizar una copia de seguridad incremental con carácter diario y copias de seguridad totales como mínimo una vez a la semana; a continuación, se realizará una copia de seguridad mensual con la inclusión de todas las actualizaciones pertinentes. El contenido de estas copias totales de seguridad deberá almacenarse, por lo general, por el periodo de un año, salvo disposición en contrario de lo establecido por la legislación de aplicación en función del sector profesional en que radique objeto social.

Es importante aclarar que la determinación del tipo de copia de seguridad deberá realizarse atendiendo a los criterios de accesibilidad, confidencialidad y coste de almacenamiento. Concretamente, se recomienda realizar periódicamente una copia de seguridad completa que garantice el alojamiento externo de los datos que presentan un mayor riesgo de pérdida de activos para la corporación ante un incidente de seguridad. A este respecto, la elección de un servicio de almacenamiento externo es crucial para garantizar la seguridad y la confidencialidad de los datos, que son el principal activo en el tráfico mercantil actual.

Dicho lo anterior, el hecho de contar con una copia de seguridad no garantiza una total protección frente a nuevas amenazas, y es necesario implementar medidas concretas para la protección de la propia copia de seguridad. Asimismo, la protección de copias de seguridad es un requisito imprescindible que se incluye dentro de las funciones de supervisión, videovigilancia y control relativos al cumplimento normativo en materia de protección de datos, necesarios para estar en capacidad de demostrar tal cumplimiento, en los supuestos de que se produzca una brecha de seguridad a nivel corporativo o bien un supuesto ilícito en nombre o por cuenta de la entidad.

Entre los principales procedimientos para la protección de las copias de seguridad a nivel corporativo cabe destacar las siguientes:

– Ejecutar procedimientos de seudonimización y cifrado de los datos (utilizar una clave secreta que se identifique con los algoritmos empleados en el software de gestión de almacenamiento).

– Implementar un sistema de restauración y recuperación de datos (protocolo de seguridad y recuperación de la información crítica a nivel corporativo) para su puesta en práctica ante un incidente de seguridad grave.

– Realizar un procedimiento de verificación, evaluación y valoración de la eficacia de las medidas técnicas y organizativas a partir de los soportes de almacenamiento utilizados, propios o contratados a un proveedor externo (estudio sobre la adecuación del tipo de almacenamiento en función de la información, el coste del servicio, etc.)

Pero ¿conoces todo lo necesario para realizar un cifrado seguro de la copia de seguridad?

Entre las diferentes técnicas de encriptación de los activos de información alojados en un sistema de almacenamiento, destacamos el cifrado de la información por su sencilla aplicación por parte de las entidades y las garantías que ofrece como mecanismo para la protección y ocultación de los datos personales. Concretamente, el cifrado se refiere al método para la transformación del formato de los datos hacia un formato protegido por un código de acceso, que requiere de una información (clave de acceso) y procedimientos específicos para su lectura y procesamiento.

En líneas generales, existen dos métodos de cifrado:

a) Simétrico. Se utiliza la misma clave para codificar los datos que para descodificarlos);

b) Asimétrico. Se utilizan dos claves diferentes que están combinadas, una de carácter público y otro privado.

De esta manera, para acceder al contenido de la copia de seguridad se puede utilizar la misma clave para codificar y descodificar la copia de seguridad (cifrado simétrico), o bien utilizar dos claves distintas directamente asociadas una a la otra, esto es, si para codificar la copia de seguridad se ha utilizado la contraseña pública, para la descodificación se deberá utilizar la contraseña privada, y a la inversa. Ambos mecanismos de cifrado garantizan una protección reforzada de la copia de seguridad, tanto si esta se aloja en un servidor digital de almacenamiento externo como interno de la entidad.

Lo importante no es tanto que la entidad tenga una copia de todos los datos necesarios para el desarrollo de su negocio, como que tales datos estén convenientemente protegidos y ocultos ante las amenazas reales de ataque cibernético para el robo de información. Además, la protección reforzada de la copia de seguridad permite garantizar los que son los principios fundamentales p de la seguridad de la información, a saber: la integridad, la confidencialidad y la disponibilidad de los datos personales almacenados en la copia de seguridad.

A modo de recomendaciones finales, en relación con la protección reforzada de la propia copia de seguridad, conviene tener en cuenta las siguientes indicaciones, en cumplimiento del deber de salvaguarda de los datos personales alojados en la copia de seguridad, para garantizar un elevado nivel de protección de la información contenida en los ficheros almacenados:

1. Cifrar la información confidencial e interna contenida en los archivos objeto de almacenamiento (se recomienda utilizar un software de cifrado para combinar la información confidencial con códigos ilegibles).
2. Establecer contraseñas seguras que restrinjan el acceso a los documentos de especial protección (mínimo de 8 caracteres, dejando un espacio antes o después de la contraseña, combinar letras/números/símbolos y guiones bajos y altos, y modificarla con una frecuencia de entre 60 y 90 días.
3. Diseñar una pregunta de seguridad en idioma extranjero.
4. Instalar un cortafuegos (firewall) para proteger el tráfico de entrada y salida de datos críticos.
5. Formación y comunicación de la política de seguridad a todos aquellos empleados que tengan acceso a información confidencial.

Por último, para el diseño y la ejecución de una estrategia de copia de seguridad, se recomienda la designación de un miembro del personal con acceso a la información confidencial (gerencia, director de seguridad o delegado de protección de datos) encargado de la función de gestión y el cumplimiento del plan de copias de seguridad conforme a los plazos establecidos y garantizar el buen estado y uso del sistema de almacenamiento de la entidad responsable/encargada.

En próximas entradas, en relación con las medidas de seguridad, dedicaremos especial atención a las fases restantes del sistema de copia de seguridad, desde la recuperación de la copia de seguridad hasta la destrucción final de los activos de información.

Ver aquí Capítulo I.

Ver aquí Capitulo II.