Actualidad
Garantizar la seguridad de los sistemas y la protección de datos ¿cómo hacer ambas cosas?
En la actualidad, tanto el mundo empresarial como el sector público y la sociedad en general, se enfrentan a un conjunto cada vez mayor de amenazas cibernéticas que pueden comprometer la seguridad de nuestra información, con graves repercusiones económicas y sociales.
Específicamente en el ámbito empresarial, estas amenazas podrían incluso poner en peligro la continuidad de las organizaciones, por lo que resulta crucial estar debidamente preparados para enfrentarse adecuadamente a estas situaciones.
En ese contexto, resulta absolutamente necesario llevar a cabo revisiones, acciones y mejoras tecnológicas de forma periódica (tales como actualizaciones de software, auditorías de seguridad, etc.) que puedan garantizar un nivel adecuado de seguridad en las actividades diarias de los empleados.
No obstante, cuando las empresas traten con datos personales (esto es, la mayoría de los casos), también deberán cumplir con los requisitos de protección de datos establecidos por la normativa aplicable en este campo.
Para abordar el desafío de garantizar la seguridad de los sistemas sin dejar de lado la protección de datos personales, es importante implementar medidas adecuadas en el ámbito empresarial que contemplen ambas vertientes, por lo que el equipo técnico y legal deberá estar coordinado. Estas medidas no solo deben abordar las amenazas cibernéticas en constante aumento, sino también cumplir con los requisitos de protección de datos establecidos por la normativa aplicable.
A continuación, se presentan algunos ejemplos de medidas de seguridad que tienen en cuenta la privacidad de los usuarios y a su vez permiten a las organizaciones alcanzar estos objetivos:
- Análisis en profundidad del estado de los equipos de trabajo en busca de software malicioso:
Es fundamental realizar escaneos periódicos de los equipos de trabajo utilizando herramientas especializadas de protección, con el fin de detectar y eliminar automáticamente cualquier tipo de malware o software malicioso que puedan comprometer la seguridad de los datos.
No obstante, es importante destacar que, para cumplir con el principio de minimización de datos, se deberá evitar acceder a los datos y limitarse al rastreo de la presencia de malware en la memoria y los dispositivos de almacenamiento, adoptando las medidas técnicas y organizativas necesarias para garantizar el nivel de seguridad requerido por la normativa. - Accesos seguros a páginas web:
Es recomendable aumentar las restricciones en las páginas web que se visitan desde los equipos de trabajo, evitando contenidos peligrosos, inapropiados o ilegales que puedan comprometer la seguridad de la empresa. Sin embargo, es importante aclarar que esta medida debe centrarse exclusivamente en la protección de la información del responsable y no en el control de la navegación de los empleados en Internet, por lo que se deberá garantizar la privacidad de los empleados.
En caso de pretender monitorizar o rastrear la actividad de los empleados para otras finalidades, la finalidad del tratamiento será distinta y, por tanto, deberá ampararse en otra base que lo legitime. Sin perjuicio de lo anterior, en caso de tratar esporádicamente datos personales de los usuarios, se deberán tomará las precauciones pertinentes al objeto de salvaguardar la seguridad e integridad de los datos, respetando la privacidad de los usuarios. - Sistemas de cifrado:
El uso de sistemas de cifrado es una práctica altamente recomendable para garantizar la seguridad y privacidad de los datos sensibles de la empresa. El cifrado proporciona una capa adicional de protección, asegurando que solo las personas autorizadas puedan acceder y comprender la información confidencial. - Doble factor de autentificación:
La autenticación de doble factor, es una medida de seguridad fundamental que agrega una capa adicional de protección (en dos pasos) al verificar las cuentas en línea.
En cualquier caso, la viabilidad de su implementación deberá evaluarse cuidadosamente en cada caso particular:
-Si no se recopilan datos personales del trabajador durante el proceso de autenticación, la normativa de protección de datos podría no ser aplicable y el tratamiento se podría llevar a cabo.
-Sin embargo, si se recopilan datos personales, se deberán evaluar las bases legales correspondientes, como el interés legítimo, siempre y cuando se cumplan los principios de idoneidad, necesidad y proporcionalidad, y se garantice que no existen métodos alternativos igualmente idóneos y más garantistas.
No obstante, resulta importante tener en cuenta que, en principio, la instalación de programas o aplicaciones en dispositivos propiedad de la persona trabajadora no puede ser exigida por la empresa. Por lo tanto, la instalación del aplicativo o programa para el doble factor de autenticación en un dispositivo personal no debería ser obligatoria para el empleado, siendo lo más recomendable optar por un teléfono de empresa. - Uso de almacenamiento en la nube:
Al contratar servicios de Cloud Computing, es esencial seleccionar un proveedor que cumpla con las garantías adecuadas en términos de protección de datos y seguridad. Como responsable del tratamiento, la empresa tiene la responsabilidad de elegir un proveedor de confianza y podría ser sancionada si no se cumplen los requisitos de protección de datos. Como responsable del tratamiento, la empresa tiene un deber de diligencia en la elección del encargado del tratamiento y, de lo contrario, podría estar incurriendo en una infracción en materia de protección de datos.
Al evaluar los servicios de almacenamiento en la nube, es importante considerar aspectos como:
-Las medidas técnicas y organizativas implementadas por el proveedor para evitar la pérdida, daño o corrupción de los datos.
-La ubicación de los centros de datos, especialmente si se encuentran fuera del territorio europeo.
-Las medidas de seguridad adoptadas por el proveedor, como actualizaciones, copias de seguridad y auditorías. - Uso compartido de cuentas y claves de acceso compartidas:
Con el fin de cumplir con los principios de confidencialidad y privacidad establecidos por la normativa de protección de datos, es importante prohibir el uso compartido de cuentas y claves de acceso entre varios usuarios. Al permitir que varios empleados compartan una misma cuenta y clave de acceso, se pierde la capacidad de rastrear y auditar las acciones individuales de cada usuario, lo que dificulta la atribución de responsabilidad en caso de incidentes o actividades maliciosas. Se recomienda aplicar el principio del mínimo nivel de privilegio en los accesos a los sistemas, otorgando a cada empleado solo los permisos necesarios para llevar a cabo sus tareas laborales.
Por tanto, resulta fundamental que cuando se vayan a implementar medidas de seguridad de los sistemas informáticos en una empresa, no se desatiendan los deberes y obligaciones propios de la normativa en protección de datos; siendo para ello necesario contar con un buen asesoramiento legal, siempre necesario en esta materia para hacerlo con garantías y lograr el binomio perfecto : la seguridad de los sistemas y la protección de datos personales tratados.
- Análisis en profundidad del estado de los equipos de trabajo en busca de software malicioso: