Avui, en aquesta entrada de blog, expliquem les sis mesures tècniques de seguretat que juguen un paper rellevant en els tractaments de dades personals per a complir amb les obligacions del principi de responsabilitat proactiva.
1. Ús de contrasenyes segures
S’ha d’establir una bona política de contrasenyes per accedir als sistemes. Aquesta política pot començar per no emmagatzemar les contrasenyes en els sistemes sense xifrar, obligar a actualitzar-les de manera periòdica i no reutilitzar-les per a diferents serveis.
2. Segon factor d’autenticació en les contrasenyes
Es tracta d’una mesura de seguretat extra que sovint requereix una prova addicional per a realitzar la identificació, com pot ser un element biomètric, un codi pseudoaleatori, o l’enviament d’un codi d’un sol ús establert per a cada usuari. És necessari per als sistemes que s’utilitzen més sovint i que continguin informació valuosa, i recomanable per a la resta.
3. Còpies de seguretat
Les eines de còpies de seguretat són fonamentals per a recuperar la informació afectada per qualsevol incident. S’ha d’establir de manera minuciosa una política de com es realitzaran les còpies de seguretat, en l’organització. Més informació sobre les còpies de seguretat en aquesta guia e INCIBE.
4. Sistemes actualitzats
Una de les mesures més efectives és comptar amb els sistemes actualitzats en tot moment, ja que els fabricants estan contínuament aplicant pegats i millores de seguretat en funció dels problemes que es detecten. Aquesta actualització no sols es refereix al sistema operatiu dels nostres equips de treball i servidors, sinó també els programes que utilitzen els dispositius, i que han de ser l’última versió disponible pel fabricant. S’ha d’establir una rutina d’actualitzacions periòdiques documentada i traçable.
Per exemple, els sistemes operatius Windows 7, Windows Server 2008 i 2008 R2 van quedar obsolets i van deixar d’actualitzar-se el passat 14 de gener de 2020.
5. Connexions VPN
A vegades es permeten accessos puntuals als sistemes que poden arribar a comprometre la seguretat. Moltes vegades, aquestes solucions no es vigilen i acaben convertint-se en definitives, deixant un possible forat de seguretat obert. Per exemple, accions com permetre un accés lliure des d’Internet a una base de dades o accedir a l’escriptori remot d’un servidor.
És important que les organitzacions defineixin una estricta política de serveis exposats a Internet.
Així mateix, els accessos remots sempre han de realitzar-se a través de sistemes de VPN, proxy invers o mesures igualment eficaces.
6. Xifrats de dispositius
Una mesura bàsica per a assegurar la confidencialitat de la informació consisteix en el fet que els elements portàtils que continguin dades i puguin extraviar-se fàcilment o ser objecte de robatori estiguin xifrats. Aquesta recomanació aplica no sols als ordinadors portàtils, sinó també a telèfons mòbils, tauletes, memòries USB, discos durs externs i còpies de seguretat que es dipositen en altres llocs.
Una contrasenya d’accés al sistema no assegura la confidencialitat del contingut en cas de robatori o extraviament, per la qual cosa és necessari complementar amb el xifrat.
Aquesta mesura és una de les quals esmenta el RGPD en el seu article 32.