Table of Contents Table of Contents
Previous Page  66 / 148 Next Page
Information
Show Menu
Previous Page 66 / 148 Next Page
Page Background

66

SEGURITECNIA

Junio 2017

Artículo Técnico

en un plazo máximo de 72 horas, ha-

biendo que documentar cómo se ha

producido la violación y los posibles

efectos.

Daños

Ahora bien, ¿cómo podemos estar segu-

ros de que cumplimos con los requisitos

de seguridad y protección de datos?

¿Estamos seguros de que la informa-

ción sensible que manejamos está bien

protegida? ¿Únicamente la poseen las

personas autorizadas? ¿Reside exclusiva-

mente en los equipos o ubicaciones de-

signadas a almacenar ese tipo de infor-

mación?

¿De qué forma afrontamos la gestión

de riesgos en cuanto al incumplimiento

de la nueva ley?

¿Estaríamos preparados para saber

exactamente cuántas copias de dicha in-

formación están en nuestros sistemas, o

si la información ha sido enviada fuera

de ellos?

De forma muy regular salen a la luz ca-

sos en los que cierta información rele-

vante ha sido filtrada, causando impor-

tantes daños a la empresa y/o personas

afectadas.

Este tipo de sucesos pueden causar

perjuicios de distinto tipo. Uno de ellos

sería el daño económico derivado de la

investigación que se lleva acabo

a pos-

teriori

, más cuando estas investigaciones

se tienen que hacer sobre un elevado

número de máquinas.

Por norma general, estas investiga-

ciones tienen que ser rápidas, ya que se

necesita esclarecer los hechos lo antes

posible y evaluar los riesgos de que se

siga filtrando información. Sin embargo,

esto suele ser difícil debido a que no se

cuenta ni con el personal ni con las he-

rramientas necesarias para la investiga-

ción, lo que implica que se tenga que

hacer un gran desembolso para que ter-

ceros la realicen.

Además, existe un sentimiento gene-

ralizado de “miedo”, quizá debido al des-

conocimiento, a investigar los dispositi-

vos de los empleados de la empresa.

Hasta ahora, parecía mejor idea no in-

vestigar nada por el hecho de no vio-

lar la intimidad de los empleados, ya que

muchos de ellos almacenan contenido

privado tanto en los ordenadores como

en los dispositivos móviles, más aún con

la tendencia del Byod.

Además, la mayoría de las herramien-

tas de investigación requieren la insta-

lación de algún tipo de “agente”, lo que

da una mayor sensación de que se está

controlando y monitorizando absoluta-

mente todo lo que se hace con los dis-

positivos, tanto lo relacionado con la em-

presa cómo lo estrictamente personal.

Sin embargo, ahora estamos en la po-

sición opuesta; tenemos la obligación de

L

a entrada en vigor de la GDPR

(Reglamento General de Protec-

ción de Datos, por sus siglas en

inglés) pretende conseguir que todas las

empresas que tengan datos de ciudada-

nos europeos estén sujetas a una nor-

mativa común, con una única legislación

para toda la Unión Europea.

Esta nueva normativa conlleva un

principio de responsabilidad activa para

cualquier empresa respecto al trata-

miento de los datos de terceros.

Esto significa que estaremos obliga-

dos a tomar todas las medidas necesa-

rias que aseguren razonablemente el

cumplimiento con los principios, garan-

tías y derechos establecidos en el nuevo

reglamento.

Entre los puntos que prevé la norma-

tiva, nos queremos centrar en los que

tratan de la “responsabilidad activa”, es

decir, los que nos obligan a tomar las

medidas necesarias para estar seguro

de que el estatuto se está cumpliendo

sin falta.

Protección de datos desde el diseño y

por defecto: asegurando en cualquier

fase del tratamiento de la información

que la obtención, acceso, intervención,

transmisión, conservación y supresión

de dicha información cumple con la

ley de protección de datos.

Medidas de seguridad: debemos incluir

las medidas y procedimientos que ga-

ranticen que se cuenta con una política

correcta en relación a la seguridad de

la información que se maneja. Esto in-

cluye la identificación, permisos de ac-

ceso y política de copias de seguridad,

así como el destruir de forma segura

los datos una vez llegado a su fin el pe-

ríodo de conservación de los mismos.

Violación de datos: notificación de las

incidencias a la autoridad pertinente

Javier López Martín-Lara /

Forensics Manager

de Ondata Internacional

Cómo realizar investigaciones internas

cumpliendo la normativa

Nuix Security & Intelligence.

Seguridad I tegral

1 61 62 63 64 65 66 67 68 69 70 71 72 148  FlippingBook