La copia de seguridad, en la actualidad conocida como Backup, es un procedimiento esencial para la protección de los activos de información de carácter confidencial e interna para toda entidad y, por consiguiente, es uno de los principales objetivos de los delincuentes informáticos. Toda entidad necesita proteger los datos que son objeto de tratamiento, específicamente las categorías especiales de datos, a saber: ideología, religión, origen racial o étnico, afiliación sindical, filosofía y opiniones políticas, orientación sexual, datos biométricos o genéticos y datos relativos a la salud. Así, aquellas entidades que realicen un tratamiento de datos de carácter personal deben reforzar la seguridad de sus sistemas de protección, almacenamiento y recuperación de los datos, principal activo en el tráfico mercantil en la actualidad en que se fundamenta el desarrollo del negocio.

La copia de seguridad se incluye dentro de la Política de seguridad de la entidad, y es mucho más que una simple duplicación de la información alojada en los sistemas de información corporativos. Así, el primer paso para ejecutar una protección reforzada en los sistemas de copia de seguridad de la entidad consiste en diseñar una estrategia de copia de seguridad en función del tipo y cantidad de activos información objeto del tratamiento.

A continuación, cabe señalar que la política de copia de seguridad deberá fundamentarse en el cumplimiento de la normativa de protección de datos personales conforme a la legislación vigente, a saber: el RGPD [Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE]; y la normativa de adaptación al marco normativo comunitario en el ordenamiento jurídico nacional a través de la LOPDGDD (Ley 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales). Asimismo, a partir de la cantidad de los archivos almacenados y la heterogénea categorización de los datos de carácter personal, así como el coste del servicio de almacenamiento, corresponderá a la entidad la determinación del tipo de copia de seguridad de mayor conveniencia. A este respecto, la anterior legislación vigente en materia de protección de datos personales, tomando como referencia el art. 32 RGPD, nos obliga a garantizar la seguridad de los datos personales objeto de tratamiento; en este caso, consistente en realizar periódicamente una copia de seguridad así como el establecimiento de un procedimiento específico de protección, verificación y pronta recuperación de los datos almacenados.

A este respecto, tomamos como referencia un artículo anterior de este blog sobre la importancia de realizar copias de seguridad a nivel corporativo. En esta línea, de conformidad con la Guía para la realización de copias de seguridad del Instituto Nacional de Ciberseguridad (INCIBE), se recomienda realizar una copia de seguridad incremental con carácter diario y copias de seguridad totales como mínimo una vez a la semana; a continuación, se realizará una copia de seguridad mensual con la inclusión de todas las actualizaciones pertinentes. El contenido de estas copias totales de seguridad deberá almacenarse, por lo general, por el periodo de un año, salvo disposición en contrario de lo establecido por la legislación de aplicación en función del sector profesional en que radique objeto social.

Es importante aclarar que la determinación del tipo de copia de seguridad deberá realizarse atendiendo a los criterios de accesibilidad, confidencialidad y coste de almacenamiento. Concretamente, se recomienda realizar periódicamente una copia de seguridad completa que garantice el alojamiento externo de los datos que presentan un mayor riesgo de pérdida de activos para la corporación ante un incidente de seguridad. A este respecto, la elección de un servicio de almacenamiento externo es crucial para garantizar la seguridad y la confidencialidad de los datos, que son el principal activo en el tráfico mercantil actual.

Dicho lo anterior, el hecho de contar con una copia de seguridad no garantiza una total protección frente a nuevas amenazas, y es necesario implementar medidas concretas para la protección de la propia copia de seguridad. Asimismo, la protección de copias de seguridad es un requisito imprescindible que se incluye dentro de las funciones de supervisión, videovigilancia y control relativos al cumplimento normativo en materia de protección de datos, necesarios para estar en capacidad de demostrar tal cumplimiento, en los supuestos de que se produzca una brecha de seguridad a nivel corporativo o bien un supuesto ilícito en nombre o por cuenta de la entidad.

Entre los principales procedimientos para la protección de las copias de seguridad a nivel corporativo cabe destacar las siguientes:

Publicado en Blog

Continuamos, una semana más, ahondando en las diferentes técnicas de salvaguarda de la privacidad con las que tanto las entidades jurídicas que traten datos de carácter personal en el desarrollo de sus actividades, cómo los usuarios, a nivel personal, contamos en nuestro panorama actual.

Si bien es cierto que la privacidad es un valor al alza, en las esferas profesional y personal, a nivel profesional, esta se ha convertido en un elemento esencial en la cadena de valor de las entidades, independientemente del tamaño que estas tengan. Un elemento que, no sólo permite que las empresas adquieran la categorización de confiables de cara a cliente, sino que, además, en algunas ocasiones, esta se configura como un requisito obligatorio para poder contratar o licitar con un tercero.

¿Con qué métodos contamos entonces, para garantizar la privacidad de la información que manejamos?

Una de las técnicas más prácticas y efectivas es el cifrado de la información, entendiendo por tal el proceso de transformación, mediante el uso de algún algoritmo, a ilegible, de la información pública o visible y para cuya decodificación, se necesitará de una clave o contraseña, previamente establecida por nosotros.

Es el propio Reglamento General de Protección de datos el que, en su considerando 83 y artículo 32.1 letra a), recoge el cifrado como medida de seguridad enfocada a mitigar los riesgos inherentes al tratamiento de los datos.

Y tal y como quedó demostrado la semana pasada, en nuestra anterior publicación, y como trataremos de reflejar en el post de hoy, en la actualidad, no resultan necesarias complejas fórmulas para el cifrado de información, sino que, por el contrario, el cifrado se encuentra, cada vez más, al alcance de cualquier usuario que cuente con un mínimo manejo de las tecnologías.

La técnica de cifrado puede ser usada para proteger todo tipo de archivos; desde correos electrónicos y su información adjunta, documentos, videos, fotos, claves bancarias y personales, mensajes de texto, hasta discos duros y pendrives cómo ya se estudió en el presente blog (aquí). No obstante, a lo largo de nuestra publicación de hoy, centraremos nuestro análisis y estudio específico, en el cifrado de archivos ZIP y/o RAR.

Lo primero que hemos de dilucidar es qué tipo de información es recomendable cifrar. Así, podemos dividirla en:

- Información de identificación personal. Cualquier tipo de información a través de la cual podamos identificar a una persona física (nombres y apellidos, DNI…etc.). No nos olvidemos que uno de los delitos más comunes en referencia a esta tipología de datos es la suplantación de identidad.
Información confidencial sobre negocios y propiedad intelectual. En este caso, más enfocada a la información que una empresa quiera proteger. Centrándonos más en información empresarial cómo puede ser estrategias comerciales y/o la patente de un nuevo producto.

Una vez hemos determinado qué información resulta recomendable cifrar, nos planteamos ahora las herramientas de cifrado con las que contamos para proteger la información que manejamos. Podemos dividirlas en tres grupos:

1. Herramientas nativas de los sistemas operativos. Algunos sistemas operativos, integran una función que permite cifrar archivos y/o carpetas de archivos, sin que sea necesario recurrir a software de terceros para asignar contraseñas que impidan el acceso no autorizado. Dentro de los sistemas operativos analizados, nos encontramos:

Publicado en Blog

Las nuevas tecnologías, han hecho posible que manejemos y rentabilicemos mejor la información para el desarrollo de nuestras empresas, pero también ha aumentado la exposición a nuevas amenazas, que facilitan la fuga de información.

Por este motivo, las empresas deben proteger la información de la que disponen y mantener su confidencialidad, disponibilidad e integridad, mediante medidas preventivas que sirvan para proteger tanto la propia información como los soportes donde se almacena, durante todo su ciclo de vida, desde su creación hasta su destrucción. De esta forma, se evita el robo, la manipulación y las posibles fugas de información.

Puede parecer sencillo mantener a salvo esa información cuando permanece en el disco duro de un ordenador de mesa al que solo una persona tiene acceso. Sin embargo, la cosa se complica si se trata de ordenadores portátiles o unidades USB que, por su tamaño o sus características de movilidad, pueden extraviarse o ser robadas; o si por determinadas circunstancias, la información se envía a un tercero mediante correo electrónico, se almacena en carpetas compartidas o en la nube, etc.

Siendo el cifrado de datos aún una asignatura pendiente para muchas empresas, vamos a dedicar ésta y las siguientes publicaciones de este blog a indicar qué pautas se deben seguir para proteger con seguridad los archivos, siempre desde una perspectiva de practicidad y utilidad para las empresas.

Como ya nos hemos referido en otras ocasiones, el artículo 32 del Reglamento General Europeo de Protección de Datos (RGPD) hace referencia a la seguridad del tratamiento de los datos: “Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya”.

Además, “se tendrán particularmente en cuenta los riesgos del tratamiento, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos”.

De todas formas, si bien es cierto que las medidas de seguridad deben adaptarse a las características concretas de cada empresa, el propio Instituto Nacional de Ciberseguridad (INCIBE) considera que existen una serie de medidas que deben aplicarse independientemente de su tamaño o actividad:

  1. Control de acceso a la información: Se debe permitir el acceso a la información únicamente a aquellos empleados que la necesitan.
  2. Actualizaciones de seguridad: Las aplicaciones y sistemas deben estar correctamente actualizados a sus últimas versiones, y con todos los parches de seguridad que distribuyen los fabricantes.
  3. Copias de seguridad:  En otra publicación de este blog (ver aquí), ya analizamos el por qué es tan importante realizar copias de seguridad periódicas de los datos relevantes y aplicaciones de la empresa.
  4. Cifrado de información y utilización de contraseñas robustas: Es necesario proteger accesos no deseado a la información mediante el cifrado de esta, de los soportes que los almacenan y de las comunicaciones donde la transmitimos. Esto cobra mayor importancia cuando se hace uso de soportes de almacenamiento externos, dispositivos móviles y conexiones a redes inseguras como wifis públicas.

No hace mucho, analizamos en una de nuestras publicaciones (ver aquí) una reciente resolución de la Agencia Española de Protección de Datos (AEPD) por la que se sanciona por infracción del mencionado artículo 32, a una entidad que había sufrido una brecha de seguridad consistente, en la pérdida de seis pendrives sin cifrar, que contenían datos personales de aproximadamente once mil personas.

Publicado en Blog

Formamos parte de una sociedad hiperconectada, dependiente de la informática y de Internet y vulnerable ante ciberataques cada vez más frecuentes y generalizados.

En este contexto la seguridad de la información debe ser una prioridad de cualquier organización. Sin embargo, es común que el día a día nos impida dedicar suficientes tiempo y recursos.

Ante las oleadas de incidentes como el criptovirus WannaCrypt, debemos reforzar nuestros niveles de seguridad y plantearnos algunos aspectos básicos que deberían formar parte del día a día de la seguridad de nuestra organización.

A continuación, algunas sugerencias que deberías haber considerado ya.

1 – Guarda una copia de seguridad completamente desconectada y aislada de tus sistemas. Prácticas como mantener todos los dispositivos de copia permanentemente conectados, usar pocos soportes de copia, no mantener un histórico de copias completas, o no monitorizar tus procesos de backup pueden tener resultados catastróficos en caso de un incidente grave.

2 – Actualiza tu software. Actualiza los sistemas operativos de tus equipos y asegúrate de que incluyen los últimos parches de seguridad ofrecidos por los fabricantes. También debes actualizar los programas, con especial atención a los navegadores, clientes de correo, programas ofimáticos de propósito general tipo Office o Adobe, y máquinas virtuales (Java). Elimina o desactiva los programas que no sean imprescindibles y actualiza tu antivirus. Descarga las actualizaciones desde fuentes oficiales.

3 – Refuerza tu cortafuegos. Aplica las directivas de mayor seguridad, incluyendo el bloqueo de dominios dudosos, el uso de antivirus red y el análisis del tráfico sospechoso. Monitoriza el destino de las conexiones establecidas desde tu red.

Publicado en Blog

Nuestros Servicios

lopd

Protección de Datos

ver más +
Adec. web

Web, Apps, e-commerce

ver más +
compliance

Compliance

ver más +
mantenimiento

Seguridad de la información

ver más +
formacion

Formación

ver más +
play

prodat securityperson

DPD/DPO EXTERNALIZADO PRODAT EXTERNALIZACION DE LA FIGURA DEL DELEGADO DE PROTECIÓN DE DATOS

Prodat pone a su disposición el servicio de “DPO externalizado”. Prodat DPO realiza todas las funciones de obligado cumplimiento en algunas organizaciones públicas y privadas para que puedan concentrase en su negocio , con la tranquilidad de un servicio especializado...

prodatnou

NUEVA PLATAFORMA DE GESTION DE LA PRIVACIDAD PRODAT PRIVACY COREBOS

Como evolución natural de su anterior plataforma software de privacidad , surge para cumplir con las nuevas exigencias del RGPD Europeo
Con tecnología CoreBos y adaptada a las ventajas de los servicios en la nube. Esta herramienta constituye desde hace más de una década el corazón tecnológico de Prodat...

prodat securityformation

FORMACIÓN LA MEJOR HERRAMIENTA DE CUMPLIMIENTO RGPD

La finalidad esencial de la FORMACIÓN RGPD-PRODAT es difundir entre el personal de su organización la puesta en práctica de las reglas y procedimientos necesarios para el cumplimiento de lo establecido por la legislación vigente en materia de protección de datos principalmente adaptado a su sector de actividad...

Delegación  Galicia Delegación  Asturias Delegación Cantabria Delegación Euskadi Delegación Navarra Delegación  La Rioja Delegación Aragon Delegación Cataluña Delegación  Valencia Delegación Alicante Delegación Baleares Delegación Murcia Delegación  Castilla y León Delegación  Madrid Delegación  Castilla la Mancha Delegación  Extremadura Delegación Huelva Delegación  Cádiz Delegación Sevilla Delegación Málaga Delegación de Tenerife Delegación Las Palmas Delegación Portugal