¿Está segura la información de tu negocio?

La seguridad en la información es el conjunto de medidas preventivas y reactivas que permiten proteger la información, garantizando la confidencialidad, disponibilidad e integridad de los datos.

Normativa vigente

La normativa vigente, el Reglamento General de Protección de Datos (RGPD), exige a todas las entidades que disponen de datos de carácter personal un deber de informar al cliente, un consentimiento explícito para el registro de información y un análisis de riesgo para establecer medidas ante la pérdida de información. El RGPD establece exactamente que:

“Deberá evitarse el tratamiento de datos de carácter personal en dispositivos portátiles que no permitan su cifrado” y que “cuando deban implantarse las medidas de seguridad de nivel alto, la transmisión de datos de carácter personal a través de redes púbicas o redes inalámbricas de comunicaciones electrónicas se realizará cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la información no sea inteligible ni manipulada por terceros”.

 

Medidas preventivas de una fuga de información

Para establecer medidas hay que tener en cuenta las vías por las que se puede fugar la información: envío de correos electrónicos a la persona equivocada, pérdida de documentos o dispositivos con información, extravío del portátil o del móvil. En la mayoría de los casos, el error humano es el principal responsable del riesgo.

Las obligaciones del responsable del tratamiento de datos son:

  • La inscripción de los ficheros con datos de carácter personal en la Agencia Española de Protección de Datos (AEPD)
  • El cifrado de datos para proporcionar un alto nivel de seguridad con la información confidencial: datos de origen racial, salud y vida sexual.
  • Proporcionar derechos ARCO para que cualquier persona física pueda ejercer control sobre sus datos personales. Consisten en derechos de acceso, rectificación, cancelación y oposición sobre sus datos.
  • Estar capacitado para informar al cliente sobre las características de su servicio.

Medidas del Instituto Nacional de Ciberseguridad de España

El Instituto Nacional de Ciberseguridad de España, en su guía sobre cómo gestionar una fuga de información, distingue tres tipos de medidas de prevención.

  • Medidas organizativas, que abarcan buenas prácticas de gestión de fuga de información, una política de seguridad para todo el ciclo de vida de los datos, la clasificación de información según roles y niveles de acceso, la formación en ciberseguridad y la implantación de un sistema de gestión de seguridad de la información.
  • Medidas técnicas, que abarcan el control del acceso e identidad; los contenidos, el tráfico y las copias de seguridad; el acceso a los recursos y actualizaciones de seguridad.
  • Medidas legales, que abarcan la solicitud de aceptación de la política de seguridad y de la de conformidad por parte de los empleados y el cumplimiento de la legislación aplicable.

Medidas de la Agencia Española de Protección de Datos

La AEPD ha creado una Guía de Análisis de Riesgos para ayudar a las empresas a aplicar las medidas de control recomendadas para cada tipología de riesgo:

Guía de Análisis de riesgos de la Agencia Española de Protección de Datos (AEPD)

 

Infracciones en protección de datos

Cualquier infracción será penalizada:

  • Las multas por infracciones en la protección de datos personales pueden alcanzar cifras de hasta 600.000€.
  • Las sanciones pueden llegar a 20 millones de euros o al 4% del volumen de negocio anual.

Ser consciente de la importancia de la seguridad nos ayudará a mantener la confianza de los clientes, no sufrir daños económicos, mantener el control de nuestra información y proteger el bienestar del negocio.

 

Tecnologías de protección de datos

Ante esta necesidad, aparecen tecnologías de protección de datos.

  • IRM (Information Rights Management), para gestionar los derechos de la información mediante controles de seguridad que permiten establecer un periodo de tiempo concreto para acceder a los documentos, proteger el documento, aunque salga de la organización, y controlar las acciones permitidas para cada usuario.
  • DLP (Data Loss Prevention), para prevenir la perdida de datos mediante el cifrado de contenido en base a reglas y al indexado de palabras en tiempo real. Permite monitorizar las acciones de cada usuario, pero consume muchos recursos, y requiere de un largo proceso de auditoría y formación.

La combinación de ambas técnicas proporciona una protección muy completa para cumplir con el RGPD y mantener la confianza de los clientes.

Además, es recomendable que las empresas realicen auditorias cada cierto tiempo para asegurarse de que están cumpliendo la normativa, protejan las libertades públicas y los derechos de las personas y no puedan ser sancionadas.