Saltar al contenido

Una lista de verificación de la GDPR: Explicación de los controles de datos básicos

La mayoría de las multas por protección de datos no se emiten porque las organizaciones tienen controles deficientes; se emiten porque no existen controles.

En este artículo voy a examinar algunos de los controles y políticas de base que todas las organizaciones deberían utilizar.

Una lista de verificación de la GDPR: Explicación de los controles de datos básicos
Una lista de verificación de la GDPR: Explicación de los controles de datos básicos

RRHH y Seguridad del Personal

Si sus clientes son lo suficientemente grandes para garantizar un manual de empleados, entonces es lo suficientemente grande como para necesitar algunas políticas de seguridad básicas:

  • Proyección . Los candidatos a un empleo, los contratistas y los terceros usuarios deben someterse a una verificación de antecedentes acorde con los riesgos.
  • Concienciación y capacitación en materia de seguridad . El personal que procesa datos personales debe recibir capacitación sobre las obligaciones pertinentes a su función de trabajo.
  • Procesos disciplinarios . Se debe definir un proceso formal para los empleados que hayan cometido una infracción de seguridad.
  • Cese o cambio de empleo . Todos los bienes, incluidos los dispositivos, medios y datos, deben ser devueltos y los derechos de acceso deben ser revocados o actualizados en caso de terminación o cambio de empleo.

Gestión de activos

Las empresas más grandes normalmente optan por registrar todos los activos, pero como mínimo todas las entidades deberían hacerlo:

  • Lleve un registro de los bienes portátiles . Esto incluye todos los dispositivos que podrían utilizarse para almacenar datos personales como unidades portátiles, dispositivos USB, tarjetas de medios de comunicación, cámaras, ordenadores portátiles, teléfonos inteligentes, tabletas, etc. Incluya los números de modelo y de serie para facilitar la identificación y establecer si las vulnerabilidades podrían aplicarse a ellos en el futuro. Las etiquetas de activos brillantes pueden ayudar a señalar los dispositivos no autorizados en la oficina.
  • Uso aceptable de los bienes. Una política debería definir claramente la utilización de los activos de la empresa, por ejemplo, la forma en que se han de proteger las computadoras portátiles fuera de los locales y en tránsito, y los requisitos para el trabajo en casa, como la capacitación obligatoria en materia de protección de datos y la aprobación del director de línea.
  • Política de BYOD . El uso aceptable de equipo personal («Traiga su propio dispositivo») debe ser claramente definido. Evitar el uso ad-hoc de cualquier medio o almacenamiento extraíble que no sea propiedad de la empresa.
  • Sustituir el equipo que ya no es compatible . Los equipos que ya no son soportados no recibirán actualizaciones críticas y deben ser reemplazados tan pronto como sea posible.
  • Deshágase de forma segura del equipo, los datos y los medios redundantes . Disponga que el equipo sea borrado, destruido o almacenado de forma segura. No destruya accidentalmente la única copia de datos personales que sería notificable.

Control de acceso

Asegurar los activos y dispositivos con contraseñas fuertes. Utilice la Autenticación de Dos Factores (2FA) donde sea posible. Un artículo posterior cubrirá las contraseñas y la 2FA con más detalle.

  • Aplicar la regla del menor privilegio . El personal no necesita navegar por la web o abrir correos electrónicos con privilegios de administrador o raíz. Las restricciones de acceso pueden limitar el impacto de la suplantación de identidad y el malware.
  • Cambiar las contraseñas y configuraciones predeterminadas . El software instalado, los cortafuegos, las impresoras, los routers, las unidades de copia de seguridad, las cámaras de seguridad, etc., pueden ser enviados con contraseñas débiles o inseguras. Para que las cosas sean «plug and play» muchos dispositivos también incluyen herramientas y servicios de administración remota que están todos activados por defecto. Estas puertas traseras de seguridad deben ser desactivadas.
  • Nube segura y cuentas de proveedores . No pases por alto las cuentas que se utilizan raramente, como el registrador de dominios y/o DNS. Son una forma fácil para que un atacante secuestre su correo electrónico, servicios web o configure un certificado SSL falso a su nombre.

Criptografía

La encriptación es una parte necesaria del GDPR, pero no una bala mágica. La criptografía también puede utilizarse para confirmar la autenticidad, por ejemplo firmando correos electrónicos.

  • Configurar los ordenadores de sobremesa, portátiles y otros dispositivos para cifrar todos los datos en reposo . Esto encripta todo el disco, por lo que las máquinas requerirán una contraseña sólo para arrancar. Cualquier dato es inaccesible si el dispositivo es robado.
  • Utilizar la encriptación para asegurar todos los datos en tránsito . Los datos personales deben ser encriptados antes de ser copiados en los dispositivos móviles, en el almacenamiento o en la nube. Algunos dispositivos ofrecen encriptación automática – asegúrate de que entiendes cómo funciona y las limitaciones que pueda tener el dispositivo (algunos dispositivos pueden no encriptar en tiempo real dejando la posibilidad de que los datos en el dispositivo no estén totalmente protegidos si se expulsan de forma inesperada).
  • Compruebe que la configuración de la encriptación es correcta . El software y los dispositivos pueden enviarse con configuraciones débiles por defecto. Asegúrese de que entiende cómo funcionan estos ajustes.
  • Administrar las claves de cifrado de forma segura . Asegúrate de que cualquier clave de encriptación se almacena de forma segura y no puede ser robada con la información, o perdida para que tampoco puedas acceder a ella.
  • Envuelve todo en una política de cifrado . Esto debe establecer claramente cuándo se debe y cuándo no se debe utilizar el cifrado, por ejemplo, puede optar por firmar todas las instrucciones de correo electrónico a los procesadores de datos, pero sólo requiere el cifrado si contiene datos personales.

Controles físicos y ambientales

  • Garantizar un nivel apropiado de seguridad física que esté en consonancia con los riesgos . Esto podría incluir paredes, vallas, escritorios con personal, guardias de seguridad, puertas y gabinetes cerrados con llave o pernos de seguridad instalados en equipos portátiles.
  • Usen una caja fuerte contra incendios clasificada por los medios de comunicación. Esto proveerá un lugar seguro para almacenar medios y dispositivos de respaldo (en lugar de en escritorios o en cajones) y dará protección contra el fuego y el robo casual.
  • Usar un sistema de alimentación ininterrumpida (UPS) . Este debe ser configurado para apagar automáticamente los servidores y/o los escritorios de forma segura en caso de fallo de energía.

Comunicaciones y Seguridad Operacional

  • Utiliza el principio de separación . Mantener las cosas separadas está en el corazón de cualquier estrategia defensiva. La separación de los sistemas puede ayudar a mantener los activos fuera del alcance del malware. La separación de funciones (en la que dos personas tienen que estar de acuerdo) puede ayudar a prevenir el fraude o los errores.
  • Separar los departamentos en diferentes redes, permitiendo sólo las comunicaciones necesarias entre ellos . Esto puede ayudar a prevenir la propagación de malware en los archivos compartidos ad-hoc.
  • Utiliza una máquina dedicada para la banca en línea y no la uses para la navegación normal de la web o el correo electrónico.
  • Mantén los dispositivos de trabajo y personales separados . No permita que los miembros de la familia utilicen los dispositivos de trabajo para navegar de forma casual y no permita que se utilicen dispositivos domésticos no aprobados en la red de trabajo.
  • No permita invitados en su red de trabajo . Configura una red WiFi para invitados si se necesita regularmente acceso a Internet y no permitas que los dispositivos de la empresa entren en esta red.
  • Instalar software antivirus . El mejor software antivirus puede no ser la suscripción gratuita de un año que venía incluida en tu portátil, así que prepárate para ir de compras. Comprenda que la mayoría de los antivirus luchan contra las amenazas más recientes, incluidos los rescates y los ataques sin archivos, así que no suponga que es una bala mágica.
  • Actualiza tu software . Cualquier pieza de software desactualizada es una ruta potencial hacia tu red de ordenadores, así que mantén todas las aplicaciones actualizadas. La casilla «actualizaciones automáticas» no incluye todo el software; algunos necesitarán ser actualizados manualmente, y algunos programas sólo podrán comprobarse la próxima vez que se carguen o salgan. Los parches de seguridad críticos deberían instalarse normalmente en un plazo de 14 días.
  • Actualiza tu firmware . Los dispositivos de hardware también necesitan actualizaciones – esto se llama firmware. Esto significa que todo, desde los ordenadores de sobremesa y los teléfonos inteligentes hasta el router de Internet, las impresoras de red, las cámaras de seguridad y las unidades extraíbles.
  • Configurar los dispositivos móviles para una máxima seguridad . Activar la protección con PIN/contraseña y funciones como el rastreo remoto, el bloqueo remoto y el borrado remoto.
  • Usar un cortafuegos . La mayoría de los ordenadores tienen un cortafuegos de software incorporado, que proporciona una protección útil una vez que estás fuera de tu red doméstica, así que asegúrate de que está activado. Las pequeñas empresas deberían considerar la posibilidad de instalar un firewall de hardware dedicado entre su enrutador de Internet y la red interna y asegurarse de que esté correctamente configurado y de que el acceso a la administración esté restringido.
  • Sólo instalar aplicaciones legítimas . Sólo descarga software de fuentes seguras como las tiendas de Apple o Google o los sitios web de los proveedores. Considere la posibilidad de utilizar configuraciones que impidan que los usuarios normales instalen su propio software.
  • Evitar el uso de dispositivos USB y otros medios extraíbles para intercambiar archivos externamente . Un sitio para compartir en la nube, como Dropbox o Google Drive, reduce el riesgo de que se transfiera malware a su red. Los datos personales deben ser encriptados.
  • No uses las conexiones públicas de WiFi . Se debe utilizar una conexión móvil 4G o un dongle USB a menos que pueda conectarse de forma segura a través de la VPN de su trabajo.

Adquisición, desarrollo y mantenimiento de sistemas

Para usted y muchos de sus clientes, los sitios web serán la primera pieza de software hecha a medida – al estar Internet frente a ella es esencial que cualquier dato personal esté protegido.

  • Desarrollar aplicaciones web de acuerdo con las mejores prácticas . Usar estándares comerciales como el Open Web Application Security Project (OWASP) o el SANS Top 25 para guiarte. Si aceptas pagos con tarjeta de crédito, debes cumplir con el PCI DSS.
  • Mantener actualizados los marcos subyacentes . Muchas aplicaciones web están construidas sobre marcos superiores (como .NET) o productos existentes (como WordPress o Umbraco). Estos deben ser mantenidos y actualizados.
  • Prueba tu sitio web . Los sitios web deben ser sometidos a una prueba de penetración antes de su lanzamiento, luego al menos anualmente y después de cualquier actualización significativa.

Recuperación de desastres

  • Haga una copia de seguridad de sus datos y sistemas . Asegúrate de que todo lo que necesites esté incluido en las copias de seguridad. Esto puede requerir que apagues el software y las bases de datos para permitir el acceso a todos los archivos. Debido al peligro de los programas de rescate, nunca debe mantener los dispositivos de copia de seguridad permanentemente conectados a su computadora o red. Una buena metodología es rotar un mínimo de tres dispositivos de copia de seguridad para que al menos uno de ellos permanezca siempre fuera del sitio de forma segura en todo momento.
  • Pruebe sus copias de seguridad regularmente . Mantenga una máquina separada de forma segura fuera del sitio que puede ser utilizada para probar las copias de seguridad y proporcionar una plataforma para una rápida recuperación en caso de un desastre del sistema. Esta máquina también debe estar completamente codificada.
  • Encripta tus copias de seguridad y mantenlas seguras . Proteja sus unidades de copia de seguridad y asegúrese de que no se pueda acceder a los datos de las mismas en caso de pérdida o robo. Mantenga seguras las unidades y cintas de copia de seguridad antiguas o haga que las destruyan.

El artículo original apareció en AccountingWEB UK. Para más información sobre GDPR, lea el artículo de Brian Tankersley sobre lo que los contables deben saber sobre GDPR.