La ciberseguridad y la nueva GDPR
Con los múltiples ciberataques que se producen diariamente y la nueva regulación sobre la protección de datos GDPR, la informática ha cogido una posición cada vez más relevante en las organizaciones. A partir de mayo del 2018 las empresas tendrán la obligación de garantizar los datos de carácter personal que tenga en su poder, aplicando lo que el nuevo reglamento denomina principio de accountability. Para ello la empresa debe adoptar las medidas de seguridad adecuadas que minimicen este riesgo.
El cambio que produce la GDPR es importante a nivel empresarial, y quizás una de las cuestiones que más cambia es la libertad que tiene la organización para adecuarse desde el punto de vista técnico y organizativo según su nivel de riesgo. El principio de responsabilidad activa o accountability establece que será la empresa la que establezca las medidas técnicas y organizativas para cumplir con la GDPR. Para ello previamente deberá analizar cuál es su riesgo en materia de protección de datos, y en función de la naturaleza, ámbito, contexto y fines del tratamiento de dichos datos establecer las medidas técnicas y organizativas adecuadas.
En los supuestos en los que se traten datos especiales (como los datos de salud) existen una serie de medidas adicionales o más estrictas que deben ser tomadas en cuenta por parte de las empresas. A la hora de prevenir las amenazas de ciberataques existen una serie de buenas prácticas como:
- Proteger la infraestructura con seguridad perimetral
- Evitar BYOD y dispositivos USB.
- Formar y sensibilizar a los empleados que son el elemento más vulnerable en la organización
- Monitorización de la actividad de los usuarios.
- Rigurosas políticas de seguridad.
Pero quizá la acción preventiva más importante es la implementación del principio de menor privilegio. Los usuarios solamente deben disponer de los privilegios necesarios para la correcta realización de su trabajo y durante el periodo realmente necesario. Hoy en dia existen soluciones que permiten limitar los privilegios de los usuarios y reducir las posibles brechas de seguridad tanto internas como externas al mínimo.
Javier Carmona
Director General Altare SP