Hoy, en esta entrada de blog, explicamos las seis medidas técnicas de seguridad que juegan un papel relevante en los tratamientos de datos personales para cumplir con las obligaciones del principio de responsabilidad proactiva.
1. Uso de contraseñas seguras
Se debe establecer una buena política de contraseñas para el acceso a los sistemas. Esta política puede empezar por no almacenar las contraseñas en los sistemas sin cifrar, obligar a actualizarlas de forma periódica y no reutilizarlas para distintos servicios.
2. Segundo factor de autenticación en las contraseñas
Se trata de una medida de seguridad extra que frecuentemente requiere de una prueba adicional para realizar la identificación, como puede ser un elemento biométrico, un código pseudoaleatorio, o el envío de un código de un solo uso establecido para cada usuario. Es necesario para los sistemas usados más frecuentemente y que contengan información valiosa, y recomendable para el resto.
3. Copias de seguridad
Las herramientas de copias de seguridad son fundamentales para recuperar la información afectada por cualquier incidente. Se debe establecer de forma minuciosa una política de cómo se realizarán las copias de seguridad, en la organización. Más información sobre las copias de seguridad en esta guía de INCIBE.
4. Sistemas actualizados
Una de las medidas más efectivas es contar con los sistemas actualizados en todo momento, puesto que los fabricantes están continuamente aplicando parches y mejoras de seguridad según se detectan los problemas. Esta actualización no sólo se refiere al sistema operativo de nuestros equipos de trabajo y servidores, sino también a los programas que utilizamos en nuestros dispositivos, y que deben ser la última versión disponible por el fabricante. Se debe establecer una rutina de actualizaciones periódicas documentada y trazable.
Por ejemplo, los sistemas operativos Windows 7, Windows Server 2008 y 2008 R2 quedaron obsoletos y dejaron de actualizarse el pasado 14 de enero de 2020.
5. Conexiones VPN
En ocasiones se permiten accesos puntuales a los sistemas que pueden llegar a comprometer la seguridad. Muchas veces, estas soluciones no se vigilan y terminan convirtiéndose en definitivas, dejando un posible agujero de seguridad abierto. Por ejemplo, acciones como permitir un acceso libre desde Internet a una base de datos o acceder al escritorio remoto de un servidor se dan muy a menudo.
Es importante que las organizaciones definan una estricta política de servicios expuestos en Internet. Asimismo, los accesos remotos siempre deben realizarse a través de sistemas de VPN, proxy inverso o medidas igualmente eficaces.
6. Cifrados de dispositivos
Una medida básica para asegurar la confidencialidad de la información consiste en que los elementos portátiles que contengan datos y puedan extraviarse fácilmente o ser objeto de robo estén cifrados. Esta recomendación aplica no sólo a los ordenadores portátiles, sino también a teléfonos móviles, tabletas, memorias USB, discos duros externos y copias de seguridad que se depositan en otros lugares.
Una contraseña de acceso al sistema no asegura la confidencialidad del contenido en caso de robo o extravío, por lo que es necesario complementar con el cifrado.
Esta medida es una de las que menciona el RGPD en el artículo 32.