Consejos en ciberseguridad para adaptarse al nuevo Reglamento Europeo de Protección de Datos

Tras la aprobación del Reglamento Europeo de Protección de Datos, el equipo tecnológico de Cobo Serrano Abogados quiere aconsejar a empresas y negocios, en materia de ciberseguridad y tratamiento de datos de carácter personal, ya que se dispone hasta 2018 para adaptarse a la legislación y aplicarla.

Los 4 Puntos clave son:

1. Agilizar el periodo de adaptación:

Realizarlo cuanto antes, porque:

• Lo exige la ley.
• Los clientes y usuarios valoran que una empresa o negocio implante medidas de seguridad para la protección de los datos personales que les ceden. Por tanto, el no cumplimiento puede dañar seriamente la imagen de esa entidad.

2. Ser conscientes de los riesgos:

Las empresas tienen la responsabilidad de proteger la información de sus clientes y el deber de establecer análisis y evaluación constante de los ataques y riesgos. Muchas, ni siquiera saben que sufren ataques, por lo que es muy importante concienciarse de que los riesgos existen y de que hay que implementar medidas robustas de seguridad.

3. Tener elaborada una Estrategia y plan de medidas: De obligado cumplimiento. Entre ellas destacamos: 

a. Contratos de confidencialidad con empleados y proveedores.

b. Control de accesos a la información (autenticación con contraseñas) y establecer árbol de permisos de usuario a todo el personal de la empresa (sólo acceso a lo necesario para desempeñar su trabajo).

c. Sistema de copias de seguridad cifrado y por personal autorizado, con los soportes controlados e inventariados.

d. Plan de mantenimiento de los equipos, testeo periódico y limpieza de virus, troyanos, etc. Realizar revisión periódica de logs e informes de seguridad. Si los equipos se reutilizan, proceder a formatear con borrado seguro. Existen multitud de herramientas gratuitas, de libre licencia, muy completas y efectivas, para realizar estas tareas sin necesidad de un coste añadido para la empresa.

e. En cuanto a los equipos portátiles y móviles que viajan fuera de las instalaciones de la empresa: inventariarlos, protegerlos con contraseñas y cifrar la información que contengan.

f. Al desechar equipos: Primero, formatear con borrado seguro y segundo, correcta destrucción física de los medios de almacenamiento, de tal manera que no se pueda recuperar la información que contenían.

g. Cifrado de telecomunicaciones.

• Redes inalámbricas: Se recomienda cifrar con WPA2,que corrige las vulnerabilidades detectadas en WPA.
• Conexiones remotas encriptadas, por ejemplo, configurando una VPN.
• Correo electrónico, asegurarnos que viaje cifrado y bajo protocolo de red seguro, así evitamos que el mensaje y la clave viajen por la red en texto plano.
• En cuanto a la Nube, mejor no utilizarla si no cumple con los requisitos exigidos en la ley.
• Sitios web: Sobre todo en comercio electrónico utilizar protocolo seguro https, para asegurar las transacciones de datos. Reforzar la seguridad ftp (editar permisos de usuarios ftp, reforzar la configuración del fichero htaccess y tener contraseñas robustas en los directorios).

h. Y una última medida destacable: Tener un Delegado de Protección de Datos, que será el encargado de velar por el cumplimiento de las medidas y alertar de las incidencias.

4. Notificación a las autoridades:

El nuevo reglamento exige notificar de inmediato cualquier violación o incidencia de seguridad a las autoridades de control, dentro de las 72 horas siguientes a que el responsable tenga constancia de ella.

En España la autoridad de control es: Agencia Española de Protección de Datos

Si además supone un riesgo para los derechos y libertades de los afectados, se les deberá notificar para que puedan tomar las medidas necesarias de protección.

Isabel Díaz
Perito Informático Judicial en Cobo Serrano Abogados