Vivimos la era de la digitalización en la que el uso de dispositivos móviles forma parte de nuestro día a día para intercambiar, conocer o usar información en cualquier momento.
El acceso a la información nos es útil tanto a nivel personal como profesional. Podemos desde tener el informe del proyecto sobre el que estamos trabajando hasta acceder a los datos de nuestros clientes desde cualquier sitio, incluso acceder al portal del empleado para solicitar nuestros días de permiso. Sin embargo, esta facilidad de acceso a través de los dispositivos móviles, que nos da versatilidad y agilidad, supone una exposición adicional: la posibilidad de pérdida o robo de esta información. Estos hechos están calificados como “brechas de seguridad”, según los informes de la AEPD sobre las brechas de seguridad, y suponen un 20 % de las notificaciones recibidas a la Autoridad de Control.
Para intentar reducir el riesgo, deberemos minimizar los datos personales que tengamos en el dispositivo y aplicar medidas de seguridad que nos ayuden a mitigar los posibles riesgos como:
– Cifrar los datos del dispositivo para evitar el acceso no autorizado en el caso de pérdida o robo. En los ordenadores portátiles se pueden cifrar los discos duros.
En el caso de los servicios de terceros en la nube para almacenar datos debemos tener en cuenta lo siguiente:
– el uso de páginas webs que tengan acceso https, es decir, con protocolo seguro.
– contratar proveedores que tengan cifrado el servidor para que la información que allí se almacene esté más segura.
– comprobar que la app de gestión en el móvil envía la información cifrada.
– Realización de copias de seguridad periódicas de los datos del dispositivo en otro soporte para evitar la pérdida de disponibilidad de esos datos. Esto es especialmente importante cuando almacenamos información de nuestros clientes/proveedores, por ejemplo, en plataformas como dropbox, google drive, etc.
– Establecer una contraseña robusta y segura de bloqueo y/o autenticación del usuario. Psicológicamente, el hecho de tener que cambiar las contraseñas genera “estrés” en los individuos debido a la fatiga que supone que el programa o aplicación le pida el cambio de la contraseña, pero el hecho de no cambiarlas implica un riesgo para la seguridad.
Grandes compañías nos solicitan solo el cambio de contraseña cuando ha habido sospecha de un ataque informático para evitar este estrés, así limitan los cambios de contraseñas a situaciones de riesgo. Otras compañías omiten el uso de contraseña y lo sustituyen por el acceso a través de reconocimiento facial.
Todas estas medidas deben ser usadas de forma conjunta y dentro de la política de seguridad de la empresa, estableciendo el uso de los dispositivos según el acceso y características de tratamientos de datos que se realice.
Si aun aplicando las medidas de seguridad se produce una pérdida de información o nos roban el dispositivo debemos actuar con rapidez. Lo primero será bloquear el dispositivo perdido o robado y avisar al responsable del tratamiento para que pueda iniciar el plan de actuación ante la posible brecha de seguridad. Para que la rapidez acompañe este proceso, es importante que el responsable tenga claro qué información había en el dispositivo y así gestionar el incidente de forma adecuada y, valorar si existe o no un riesgo para los derechos y libertades y, por lo tanto, comunicar la brecha a la AEPD en caso de ser necesario.
La AEPD emitió un informe sobre la forma de valorar el nivel de impacto de la brecha y determinar si era necesario comunicarlo a la Autoridad de Control y, en su caso, a los afectados.
Es importante tener en cuenta que un factor determinante para valorar el impacto de una posible fuga o perdida de información será la tipología de datos y la exposición de los mismos.
Por ejemplo, no será lo mismo que lleven a cabo un ataque del tipo ransomware a nuestros servidores pero tengamos una copia de seguridad actualizada y resolvamos el problema de forma interna (sin entrar en detalle de la operativa de ‘rescate’ en este tipo de actuaciones) que se produzca una fuga de información de carácter ‘sensible’ y que esta se haga pública en algún portal. La exposición de dicha información es clave para valorar el nivel de riesgo.
Para cualquier duda, como siempre, nuestro equipo de consultores está a su disposición.
PymeLegal.
