Capítulo II: Medidas de seguridad. Técnicas de cifrado en los archivos ZIP

Publicado en Blog
by
Lunes, 09 Marzo 2020
Visto 412 veces

Continuamos, una semana más, ahondando en las diferentes técnicas de salvaguarda de la privacidad con las que tanto las entidades jurídicas que traten datos de carácter personal en el desarrollo de sus actividades, cómo los usuarios, a nivel personal, contamos en nuestro panorama actual.

Si bien es cierto que la privacidad es un valor al alza, en las esferas profesional y personal, a nivel profesional, esta se ha convertido en un elemento esencial en la cadena de valor de las entidades, independientemente del tamaño que estas tengan. Un elemento que, no sólo permite que las empresas adquieran la categorización de confiables de cara a cliente, sino que, además, en algunas ocasiones, esta se configura como un requisito obligatorio para poder contratar o licitar con un tercero.

¿Con qué métodos contamos entonces, para garantizar la privacidad de la información que manejamos?

Una de las técnicas más prácticas y efectivas es el cifrado de la información, entendiendo por tal el proceso de transformación, mediante el uso de algún algoritmo, a ilegible, de la información pública o visible y para cuya decodificación, se necesitará de una clave o contraseña, previamente establecida por nosotros.

Es el propio Reglamento General de Protección de datos el que, en su considerando 83 y artículo 32.1 letra a), recoge el cifrado como medida de seguridad enfocada a mitigar los riesgos inherentes al tratamiento de los datos.

Y tal y como quedó demostrado la semana pasada, en nuestra anterior publicación, y como trataremos de reflejar en el post de hoy, en la actualidad, no resultan necesarias complejas fórmulas para el cifrado de información, sino que, por el contrario, el cifrado se encuentra, cada vez más, al alcance de cualquier usuario que cuente con un mínimo manejo de las tecnologías.

La técnica de cifrado puede ser usada para proteger todo tipo de archivos; desde correos electrónicos y su información adjunta, documentos, videos, fotos, claves bancarias y personales, mensajes de texto, hasta discos duros y pendrives cómo ya se estudió en el presente blog (aquí). No obstante, a lo largo de nuestra publicación de hoy, centraremos nuestro análisis y estudio específico, en el cifrado de archivos ZIP y/o RAR.

Lo primero que hemos de dilucidar es qué tipo de información es recomendable cifrar. Así, podemos dividirla en:

- Información de identificación personal. Cualquier tipo de información a través de la cual podamos identificar a una persona física (nombres y apellidos, DNI…etc.). No nos olvidemos que uno de los delitos más comunes en referencia a esta tipología de datos es la suplantación de identidad.
Información confidencial sobre negocios y propiedad intelectual. En este caso, más enfocada a la información que una empresa quiera proteger. Centrándonos más en información empresarial cómo puede ser estrategias comerciales y/o la patente de un nuevo producto.

Una vez hemos determinado qué información resulta recomendable cifrar, nos planteamos ahora las herramientas de cifrado con las que contamos para proteger la información que manejamos. Podemos dividirlas en tres grupos:

1. Herramientas nativas de los sistemas operativos. Algunos sistemas operativos, integran una función que permite cifrar archivos y/o carpetas de archivos, sin que sea necesario recurrir a software de terceros para asignar contraseñas que impidan el acceso no autorizado. Dentro de los sistemas operativos analizados, nos encontramos:

Capítulo I: Medidas de seguridad ¿cómo cifrar un disco duro o un pendrive?

Publicado en Blog
by
Jueves, 05 Marzo 2020
Visto 437 veces

Las nuevas tecnologías, han hecho posible que manejemos y rentabilicemos mejor la información para el desarrollo de nuestras empresas, pero también ha aumentado la exposición a nuevas amenazas, que facilitan la fuga de información.

Por este motivo, las empresas deben proteger la información de la que disponen y mantener su confidencialidad, disponibilidad e integridad, mediante medidas preventivas que sirvan para proteger tanto la propia información como los soportes donde se almacena, durante todo su ciclo de vida, desde su creación hasta su destrucción. De esta forma, se evita el robo, la manipulación y las posibles fugas de información.

Puede parecer sencillo mantener a salvo esa información cuando permanece en el disco duro de un ordenador de mesa al que solo una persona tiene acceso. Sin embargo, la cosa se complica si se trata de ordenadores portátiles o unidades USB que, por su tamaño o sus características de movilidad, pueden extraviarse o ser robadas; o si por determinadas circunstancias, la información se envía a un tercero mediante correo electrónico, se almacena en carpetas compartidas o en la nube, etc.

Siendo el cifrado de datos aún una asignatura pendiente para muchas empresas, vamos a dedicar ésta y las siguientes publicaciones de este blog a indicar qué pautas se deben seguir para proteger con seguridad los archivos, siempre desde una perspectiva de practicidad y utilidad para las empresas.

Como ya nos hemos referido en otras ocasiones, el artículo 32 del Reglamento General Europeo de Protección de Datos (RGPD) hace referencia a la seguridad del tratamiento de los datos: “Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya”.

Además, “se tendrán particularmente en cuenta los riesgos del tratamiento, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos”.

De todas formas, si bien es cierto que las medidas de seguridad deben adaptarse a las características concretas de cada empresa, el propio Instituto Nacional de Ciberseguridad (INCIBE) considera que existen una serie de medidas que deben aplicarse independientemente de su tamaño o actividad:

  1. Control de acceso a la información: Se debe permitir el acceso a la información únicamente a aquellos empleados que la necesitan.
  2. Actualizaciones de seguridad: Las aplicaciones y sistemas deben estar correctamente actualizados a sus últimas versiones, y con todos los parches de seguridad que distribuyen los fabricantes.
  3. Copias de seguridad:  En otra publicación de este blog (ver aquí), ya analizamos el por qué es tan importante realizar copias de seguridad periódicas de los datos relevantes y aplicaciones de la empresa.
  4. Cifrado de información y utilización de contraseñas robustas: Es necesario proteger accesos no deseado a la información mediante el cifrado de esta, de los soportes que los almacenan y de las comunicaciones donde la transmitimos. Esto cobra mayor importancia cuando se hace uso de soportes de almacenamiento externos, dispositivos móviles y conexiones a redes inseguras como wifis públicas.

No hace mucho, analizamos en una de nuestras publicaciones (ver aquí) una reciente resolución de la Agencia Española de Protección de Datos (AEPD) por la que se sanciona por infracción del mencionado artículo 32, a una entidad que había sufrido una brecha de seguridad consistente, en la pérdida de seis pendrives sin cifrar, que contenían datos personales de aproximadamente once mil personas.

Página 3 de 158

Nuestros Servicios

lopd

Protección de Datos

ver más +
Adec. web

Web, Apps, e-commerce

ver más +
compliance

Compliance

ver más +
mantenimiento

Seguridad de la información

ver más +
formacion

Formación

ver más +
play

prodat securityperson

DPD/DPO EXTERNALIZADO PRODAT EXTERNALIZACION DE LA FIGURA DEL DELEGADO DE PROTECIÓN DE DATOS

Prodat pone a su disposición el servicio de “DPO externalizado”. Prodat DPO realiza todas las funciones de obligado cumplimiento en algunas organizaciones públicas y privadas para que puedan concentrase en su negocio , con la tranquilidad de un servicio especializado...

prodatnou

NUEVA PLATAFORMA DE GESTION DE LA PRIVACIDAD PRODAT PRIVACY COREBOS

Como evolución natural de su anterior plataforma software de privacidad , surge para cumplir con las nuevas exigencias del RGPD Europeo
Con tecnología CoreBos y adaptada a las ventajas de los servicios en la nube. Esta herramienta constituye desde hace más de una década el corazón tecnológico de Prodat...

prodat securityformation

FORMACIÓN LA MEJOR HERRAMIENTA DE CUMPLIMIENTO RGPD

La finalidad esencial de la FORMACIÓN RGPD-PRODAT es difundir entre el personal de su organización la puesta en práctica de las reglas y procedimientos necesarios para el cumplimiento de lo establecido por la legislación vigente en materia de protección de datos principalmente adaptado a su sector de actividad...

Delegación  Galicia Delegación  Asturias Delegación Cantabria Delegación Euskadi Delegación Navarra Delegación  La Rioja Delegación Aragon Delegación Cataluña Delegación  Valencia Delegación Alicante Delegación Baleares Delegación Murcia Delegación  Castilla y León Delegación  Madrid Delegación  Castilla la Mancha Delegación  Extremadura Delegación Huelva Delegación  Cádiz Delegación Sevilla Delegación Málaga Delegación de Tenerife Delegación Las Palmas Delegación Portugal