La Protección de Datos y la Ciberseguridad

silhouette of person on blue digital wallpaper

¿Qué es la ciberseguridad y qué tiene que ver con la protección de nuestros datos? El mundo cambia de manera vertiginosa y con cada paso que la tecnología da, surgen nuevos entornos en el que desenvolvernos. El cambio reciente más significativo surgió a través de Internet, el cual sigue evolucionando y aún a día de hoy no se detiene.

Tan grande fue el cambio, que un nuevo entorno surgió, un nuevo medio ambiente. Todo un mundo llamado el ciberespacio es un «lugar» donde la información de las personas, las transacciones económicas, las conversaciones, los viajes, el conocimiento y todo lo que nos rodea fluye como pasa en el planeta Tierra. Si bien, en un principio surge como un grupo de ordenadores compartiendo cierta información, ahora las nuevas generaciones no consienten un mundo sin Internet y su smartphone o tablet, donde puedan encontrar y determinar cualquier información que les interese. Además esta conectividad facilita la realización de muchas tareas, y con el Internet de las cosas, la automatización de muchas de nuestras labores cotidianas se acerca más y más a los hogares de las personas.

Todo esto supone muchas ventajas para nosotros, pero a su vez un gran riesgo. Dado que nuestra privacidad coexiste en este entorno, debemos garantizar la integridad de éste, y por ende, el lugar donde depositamos nuestra información personal cada día. Este ecosistema está conformado por millones de computadoras y conexiones entre ellas, incluso a través de cables que cruzan todo el océano. La dimensión del mismo hace que garantizar su seguridad y buen estado sea una tarea ardua.

La Ciberseguridad

También conocida como seguridad informática, es un área relacionada con la telemática que tiene por objetivo la protección de la infraestructura computacional y, especialmente, la información contenida en una computadora o través de las redes de computadoras (Internet).

Esto en la práctica supone defender los dispositivos, las redes y especialmente la información contenida de modo digital de cualquier ataque malicioso. Pero, ¿Qué tipo de ataques? y ¿Qué amenazas supone esto? La verdad es que existen infinidad de amenazas en este entorno, la información se comunica rápidamente y puede reproducirse de igual manera en el entorno. Muchos buscarán secretos de la competencia (espionaje corporativo), datos personales para extorsión, robos de activos financieros, chantaje, bloqueo de los sistemas, suplantación de identidad, destrucción de información, entre otros.

Los tipos de ataques son tan variados como sus objetivos y se adaptan según sea la ocasión. Un virus, Ingeniería Social, el Phishing, la denegación de servicio y el Spoofing son los modos de operación más comunes. No obstante, no todas estas amenazas y ataques surgen de un único ente. Éstas pueden ser causadas por los mismos usuarios de la red, programas maliciosos, errores de programación, intrusos, personal técnico, fallos electrónicos e incluso catástrofes naturales.

Todo lo anterior, nos lleva a preguntarnos ¿cómo la ley, nuestros gobiernos y la sociedad en general regula estas amenazas? El Reglamento General de Protección de Datos de la Unión Europea, que entró en vigor en mayo del 2018 regula para todos los Estados miembros, la protección de los datos y establece una responsabilidad pro-activa al respecto.

La Protección de Datos

Todo lo anterior implica que, como los datos coexisten en un ambiente no solo físico sino a su vez digital, el RGPD exige a las organizaciones que deben garantizar la seguridad de los datos incluso antes de adquirirlos, por lo que se deben a su vez a la ciberseguridad de los mismos. Incluso, el RGPD exige especial atención a los llamados datos especiales, que contemplan información de orientación sexual, creencias religiosas entre otros. Garantizar en todos los ámbitos la protección de estos datos es una obligación y una prioridad. El incumplimiento de lo anterior puede causar grandes multas para las compañías que tratan con los datos personales. No obstante, la ley también exige que las empresas y entidades públicas implementen una respectiva política de seguridad.

¿Cómo puede una empresa evitar ataques cibernéticos?

Tener implementada una correcta política de seguridad es el primer paso para evitar posibles ataques contra la seguridad informática. Por ello, es importante realizar una evaluación del riesgo y estudiar la seguridad de la información, de manera que no obstruya el desarrollo de las actividades. Algunos puntos a realizar serían:

Elaborar reglas y procedimientos para cada servicio de la organización. Definir las acciones a realizar y elegir las personas con las contactar en caso de detectar una posible intrusión o ataque. Sensibilizar y educar a los trabajadores en materia de la seguridad informática y las consecuencias de no adoptar medidas para ello. Además, los derechos de acceso a la información deben estar bien definidos y documentados, «quién tiene y a qué tiene acceso».

10 consejos para mejorar la ciberseguridad

  • Utilizar técnicas de desarrollo que cumplan con los criterios de seguridad para todo el software.
  • Implantar medidas de seguridad físicas: sistemas anti-incendios, vigilancia de los centros de proceso de datos, sistemas de protección contra inundaciones, protecciones eléctricas, control de accesos, etc.
  • Codificar la información: criptología, criptografía y criptociencia.
  • Contraseñas difíciles de averiguar, robustas, privadas, y que cambien con una periodicidad relativa.
  • Asegúrese de implementar los protocolos técnicos de seguridad necesarios. Las redes transportan toda la información, por lo que además de ser el medio habitual de acceso de los atacantes, también son un buen lugar para obtener la información sin tener que acceder a las fuentes de la misma. También puede implementar Redes perimetrales de seguridad, o DMZ, que permiten generar reglas de acceso fuertes entre los usuarios y servidores no públicos y los equipos publicados.
  • Tecnologías protectoras: cortafuegos, detección de intrusos – antispyware, antivirus, llaves para protección de software, etc.
  • Mantener los sistemas de información con las actualizaciones que más impacten en la seguridad.
  • Copias de seguridad e, incluso, sistemas de respaldo remoto que permiten mantener la información en dos ubicaciones de forma asíncrona.
  • Controlar el acceso a la información por medio de permisos centralizados y mantenidos (tipo Active Directory, LDAP, listas de control de acceso, etc.).
  • Candado Inteligente: USB inalámbrico utilizado para brindarle seguridad a la computadora. La misma se bloquea cuando el usuario que tiene este aparato se aleja más de tres metros.

¿Qué debo hacer si mi empresa ha recibido un ataque?

En caso de un ciberataque, la persona que perciba el posible incidente, deberá remitirse a la política de seguridad y seguir el proceso indicado allí, y en consecuencia, contactarse con el personal técnico encargado de la ciberseguridad. Además, de estar comprometidos datos de carácter personal, ya sea de externos o de personal interno de la organización, la misma deberá acudir ante el ente de control respectivo (AEPD para España) y dar notificación de la incidencia, y, si es posible notificar a los posibles afectados. Es necesario también que tome las medidas necesarias para minimizar el impacto y el daño a la marca. En caso de no contar con medidas de ciberseguridad, contacte inmediatamente con un organismo de control y con un experto, con el fin de mitigar los daños.

Debe tener presente, que la empresa responsable que realice la notificación del incidente, deberá hacerlo con un plazo máximo de las 72 horas siguientes en las que tenga constancia del mismo. La notificación ha de incluir un contenido mínimo:

  • la naturaleza de la violación
  • categorías de datos y de interesados afectados
  • medidas adoptadas por el responsable para solventar la quiebra
  • si procede, las medidas aplicadas para paliar los posibles efectos negativos sobre los interesados. Además, los responsables deben documentar las quiebras de seguridad sufridas.

¿Por qué es necesario notificar un incidente? 

Por más robusta y segura que consideremos nuestra organización en materia de seguridad informática, ninguna está exenta de ser presa de un ciberataque. Es imposible garantizar al 100% que un ciberataque no acabe por afectar a la organización. Un protocolo eficiente sobre ciberseguridad y una capacidad de respuesta rápida limitará el posible coste del incidente, y evitará fugas indeseadas de información. Una medida para que esta respuesta sea eficiente, es notificar de manera rápida el incidente, para recibir apoyo y asesoría por parte expertos.

Notificar el incidente no solo permitirá una respuesta más eficiente sobre el ataque, sino que permitirá aprender de éste para evitar futuros ataques. Además, las personas que puedan verse perjudicadas, tienen derecho a estar al tanto de la situación y conocer las medidas tomadas para salvaguardar su integridad. No olvidemos que, al ser una obligación, no reportarlo conlleva a posibles multas, tal y como mencionamos anteriormente.

Autoridades

El RGPD estipula que los Estados miembros deberán contar con una entidad nacional encargada de la protección de datos. Además, en el caso de España existen agentes de control en materia de ciberseguridad. En cuánto a incidentes relacionados con datos personales, está a su disposición la AEPD (Agencia Española de Protección de Datos). Si tienen inquietudes al respecto, contamos con una entrada en el blog (https://eurodato.com/como-reclamar-ante-la-aepd/ ) que les ayudará a atender un poco más.

El CCN (Centro Criptológico Nacional)

Inicialmente el CNI (Centro Nacional de Inteligencia), con el CCN (Centro Criptológico Nacional), son las entidades gubernamentales de control de ciberseguridad. «Su misión, por tanto, es contribuir a la mejora de la ciberseguridad española, siendo el centro de alerta y respuesta nacional que coopere y ayude a responder de forma rápida y eficiente a los ciberataques y a afrontar de forma activa las ciberamenazas, incluyendo la coordinación a nivel público estatal de las distintas Capacidades de Respuesta a Incidentes o Centros de Operaciones de Ciberseguridad existentes.» comentan en su página web (https://www.ccn.cni.es), en la que además se encuentran cursos, noticias de actualidad y la información necesaria para la evaluación certificación de seguridad de un producto y, todo ello, enmarcado entorno a la ciberseguridad.

Uno de los servicios claves con el que cuenta el CCN, es el CERT, de las siglas en inglés Computer Emergency Response Team. Éste último es un equipo de personas dedicado a la implantación y gestión de medidas preventivas, reactivas y de gestión de la seguridad. Entre sus cualidades, el CCN-CERT es capaz coordinar e intercambiar información con otros organismos, fortaleciendo la capacidad de la organización para responder eficientemente a ciberincidentes. El CERT, como un equipo especializado, tiene a su disposición herramientas orientadas al manejo de ciberataques que posiblemente una organización pequeña o mediana no disponga. Entre los servicios que ofrece el CERT están, gestión de incidentes, sistema de alerta temprana «SAT», formación y sensibilización, guías de seguridad, informes de Ciberseguridad, soluciones, cumplimiento del ENS, auditorías Web, Capacidad forense y de ingeniería inversa.

Para notificar un incidente deberá enviar un correo electrónico a incidentes@ccn-cert.cni.es o bien hacerlo mediante el software LUCIA. LUCIA es una plataforma desarrollada por el CERT con el fin de gestionar los ciberataques, y facilitar la coordinación entre el CERT y demás organizamos aliados facilitando un lenguaje estándar y común respecto a los incidentes de ciberseguridad.

El INCIBE

Por otro lado, desde el ministerio de Economía y Empresa se cuenta con el INCIBE (Instituto Nacional de Ciberseguridad de España), el cual tiene por objetivo reforzar la ciberseguridad, la confianza y la protección de la información y privacidad en los servicios de la Sociedad de la Información, orientado a ciudadanos, empresas, Administración, red académica y de investigación española, sector de las tecnologías de la información y las comunicaciones y sectores estratégicos en general. Para más información puedes remitirte a su página (https://www.incibe.es ).

Si después de esta breve introducción a la ciberseguridad y la protección de datos que hemos expuesto, todavía tienes alguna cuestión, no dudes en contactar con nosotros directamente a través de nuestra página web (https://eurodato.com/contact/) o, si lo prefieres, escríbenos en nuestras redes sociales:

-LinkedIn  (https://es.linkedin.com/company/eurodato)

-Facebook (https://es-es.facebook.com/EuroDato-Protecci%C3%B3n-de-datos-2042330856058476/)

-Twitter (https://twitter.com/EURODATO1)

-Instagram (https://www.instagram.com/eurodato/)

1 comment

    Post a Comment

    1